飞星注入器v3.1 | 开源

ongarabazanade

inhh1

BD云沙箱（企业版）检测到了Process Injection，但是最后结果是clean，估计是没跑出来有害行为
建议下次换个连127.0.0.1的cs，gh0st这类的，可能体现注入效果会明显一点
---Update
BD企业版，开启内核Syscall检测，可杀
高级威胁防护已开始对恶意进程执行清除操作。 进程路径: C:\Users\????\AppData\Local\Temp\7zO013DA509\StarFly3.1.exe. 威胁名称: ATC.SuspiciousBehavior.4FEE16AE7F2C3D37.

00006666

菜叶片 发表于 2025-9-2 21:06
可能我下午开着核晶连网测 360入库了

跟入库没关系，那个是QVM，机器学习的检测结果，现在360就是很奇怪，很多玄学结果，有的人能防有的人不能防，这个机器学习也是有的人能检测有的人不能

况且，360就不可能入库，本地库一个星期才更新一次，只有云拉黑是实时的，机器学习应该也不可能几个小时就下发新机学模型吧，360要是能几个小时就下发新机学模型就不怕银狐了。

00006666

一般是QVM201和QVM202比较常见，QVM201以前听别人说是高熵值就会报，只要降熵就不会报，QVM202听说加版本信息、加个新的ICO，伪装成正常程序然后就不会报，反正一般出QVM了，你就去试试降熵，加资源，很大概率就不会报毒了。

00006666

菜叶片 发表于 2025-9-2 21:06
可能我下午开着核晶连网测 360入库了

讲真这个QVM报毒，我这边到现在都没办法复现，扫描都是没有报毒，就你帖子里面这个版本，我这边的360都是不报毒的

huhansan001

zomealarm free avtivirus 双击miss

tomochan

虽然过了avast的cc，但双击过不了IDP

00006666

事实上，我花了几十秒就让VT上面这些的大部分机学引擎比如机学引擎以及360QVM熄火了，对付这些机学引擎只需要简单的加个无效自签名，加个版本信息即可，机学引擎普遍都有这个问题。

下图是你的原版



下图我改动后的，就加了无效自签名





当然核晶还是会报，毕竟只是改了静态的特征，行为还是一样的，非核晶模式我这边也不会拦截

lsop1349987

emsi双击miss
Avira双击miss
McAfee+hmpa双击miss

加油

360国际版国内版miss，没双击，360杀毒解压杀。我发现360国际版购买会员后，卸载再安装国内版+杀毒很流畅也没有广告