飞星注入器v3.0 | 开源 | v3.1已更新

菜叶片

反病毒fileman 发表于 2025-9-2 11:28
注入卡巴压根不拦截，注入后运行一段时间，不掉，那是真过了

是这样的 我2.0.6版本是个弹出计算器的shellcode
刚注入的时候卡巴不拦截 shellcode执行后卡巴把explorer杀了 但是仍然不杀注入器
过一天就被卡巴入库了 x64 Loader
但是3.0应该是过了 我等了十分钟 shellcode都运行好几次了 弹了好几个弹窗了还没杀
到现在还没入库

反病毒fileman

谢谢，师傅分享，晚上回去测一下

ANY.LNK

Microsoft
依然是谜一样的机器学习


无法运行

菜叶片

ANY.LNK 发表于 2025-9-2 13:43
Microsoft
依然是谜一样的机器学习

这个确实很迷 我第一次编译就报毒Wacatac
把编译器从大小优先改成速度优先就过了
上传VT（不知道是不是因为这个）一个小时又被微软入库了

每次WD报Wacatac都是稍微改一下编译参数就能过

骚猪

卡巴无任何提示，冰盾拦截修改内存

ANY.LNK

菜叶片 发表于 2025-9-2 14:21
这个确实很迷 我第一次编译就报毒Wacatac
把编译器从大小优先改成速度优先就过了
上传VT（不知道是不是 ...

大概不是入库，就是文件的可疑程度刚好卡在机器学习模型的分类临界值附近了，这时候一点轻微的扰动就足以触发报毒

菜叶片

骚猪 发表于 2025-9-2 14:26
卡巴无任何提示，冰盾拦截修改内存

刚刚我自己用冰盾验证了
冰盾会移除句柄中的虚拟内存写入权限
导致非白名单进程无法跨进程写入
貌似我确实没有很好的思路解决这种情况
这不是主动防御 拦截记录里没有
这种机制 暴力但是有效 哈哈

lsop1349987

补充4楼360首测环境：联网，虚拟机win10开核晶兼容模式，另外断网好像不报

a2650183122

lsop1349987 发表于 2025-9-2 15:12
补充4楼360首测环境：联网，虚拟机win10开核晶兼容模式，另外断网好像不报

360主防基本都靠云，断网基本就废了

菜叶片

lsop1349987 发表于 2025-9-2 15:12
补充4楼360首测环境：联网，虚拟机win10开核晶兼容模式，另外断网好像不报

核晶绕过难度有点大 暂时不考虑 非核晶应该是可以的