飞星注入器v3.0 | 开源 | v3.1已更新

菜叶片

已在Github开源 点我前往项目主页 求个Star谢谢各位大佬 :3
战绩
天穹云沙箱 判定安全
VT 5/72
any.run 威胁等级0/100
22:20发现WD入库（其实WD 编译器和链接器设置改一下就过了）
卡巴斯基云沙箱 安全
卡巴斯基KES（EDR基础版）双击miss 十分钟内存扫描miss shellcode成功执行

我怀疑我卡巴是假的 每次我发布都是以绕过卡巴EDR为基准 但是总是有大佬的装备更胜一筹
使用方式
双击打开（无需管理员权限）
几秒内会看到explorer.exe文件资源管理器弹出若干Hello World消息框

仅支持Windows10/11 x64架构

免杀技术详解

• 继承飞星v2.0.6 使用改造后的Syswhisper3解析ntdll的系统调用号和调用地址
  

       移除了Syswhisper3在内存的缓存 因为会被沙箱内存扫描扫到 并做了轻量化处理

• 使用自研栈欺骗方案 GalaxyGate 进行间接系统调用
  

       硬件断点Hook + VEH的奇妙结合

• ChaCha20加密Shellcode
  

         纯原始内存操作实现ChaCha20解密

• 利用SysmonEnte项目提到的句柄提权漏洞 获取目标进程的完全访问句柄
  

         内核级别逻辑漏洞 只要和目标进程同一用户所有 就可以左手倒右手提升句柄权限

• 修改远程进程VEH链表 劫持执行流
  

       起因是用windbg看到explorer一直在莫名其妙抛出异常 觉得可以用VEH劫持执行流
         本来想自己写来着 太难了 正好在Github发现有大佬的开源项目

尽管Shellcode无害 也建议不要在物理机运行如果不小心在物理机上运行了 会导致Explorer执行流堵塞
ctrl+alt+del打开任务管理器 杀死explorer.exe 然后从运行新任务重新启动

下面大佬的回复我会挨个看
Avira报毒MemAllocProcess 应该是为shellcode申请内存时触发 后续版本可以绕过
安天的云沙箱 CVE-201-018编码不全 但是我利用的句柄提权漏洞是没有CVE编码的 不知道是不是检测到了
4楼补充360是核晶环境 暂时不考虑绕过核晶 难度有点大 :3


更新 v3.1
[+] 非标准的ChaCha20 Shellcode加密 因为VT云沙箱识别到了标准ChaCha20加密常量
[+] 不再在目标进程申请内存
        VEH结点写入ntdll的data段
        Shellcode写入kernel32!BaseDLLInitialize 该初始化用函数已确定不会再被调用 且跳转到该函数起始地址不触发CFG异常VT 5/72
微步 风险未知 多引擎检测全过
VT沙箱未发现注入行为和ChaCha20加密特征

心醉咖啡

360扫描miss，下载保护无视加密报风险

请叫我德玛西亚

奇安信天擎、瑞星双击miss , sep解压 kill，BEST双击kill

lsop1349987

emsi、趋势个人版、mcafee+hmpa、金山毒霸双击miss
Avira未扫描直接双击kill，但仍有弹窗，要求重启，重启后正常
avast双击kill，cc未检出
360双击kill

z80405789

安田新大模型

Curve25519

ESET Smart Security Premium 解压杀，0902 14:36 复测，报 Generik.DBQIRFC 特洛伊木马 的变种

2025/9/1 23:34:33;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\StarFly3.0\StarFly3.0.exe;Suspicious Object;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;801AE99E2B0AE64556B65C25BC5CBC1F65F1B182;2025/9/1 23:34:30;;

2025/9/2 14:36:53;文件系统实时防护;文件;\Device\TweakCubeRamDisk0\Sandbox\Admin\DefaultBox\drive\W\StarFly3.0\StarFly3.0.exe;Generik.DBQIRFC 特洛伊木马 的变量;已通过删除清除;DESKTOP-K07940I\Admin;在通过应用程序创建的新文件上发生了事件: C:\Program Files\WinRAR\WinRAR.exe (D150653D2058987677CD7ED3FF5344D9BA9D2739).;801AE99E2B0AE64556B65C25BC5CBC1F65F1B182;2025/9/1 23:34:31;;

莒县小哥

一成不变

360杀毒扫描kill，双击kill，卡巴扫描miss

aikafans

avg idp 杀

反病毒fileman

注入卡巴压根不拦截，注入后运行一段时间，不掉，那是真过了