飞星注入器v3.4.1 | 开源 | 已修复

nulluser1234

win11 24h2也跑不了，调试发现有概率傀儡函数断点不会派发到veh

hellohere

ESET，差不多等了很久了才报 时间;对象名称;大小;原因;计数;用户帐户;哈希
2025/10/21 19:20:22;c:\users\guo\downloads\starfly3.4\starfly.exe;25.5 kB;ESET LiveGuard 特洛伊木马;1;NT AUTHORITY\SYSTEM;E72D2A437C5AC65B5D39228167416E636B02AB8D

ii88

hellohere 发表于 2025-10-21 20:26
ESET，差不多等了很久了才报 时间;对象名称;大小;原因;计数;用户帐户;哈希
2025/10/21 19:20:22;c:%users\ ...

LiveGuard 终于发力了一次~  好难得。。。  

lsop1349987

emsi miss
drweb miss
过双a，金山，KBfree，天守
过江民，主防动作但选择结束后仍有弹窗
过不了360（非核晶）
以上结果为win10环境，部分非最新毒库版本，结果仅供参考，均使用调试版，均不关闭窗口
如有不同结果，以最新的为准

inhh1

BEST Killed
高级威胁防护已开始对恶意进程执行清除操作。进程路径: C:\Users\inhh11\AppData\Local\Temp\7zOCD715F11\StarFly.exe. 威胁名称: ATC.SuspiciousBehavior.4FEE16AE77857BEB.
ATD同时杀了explorer。但是ATD的处理把explorer生成的recent全部塞进quarantine了，比较暴力，，，

隔山打空气

25H2根本就没法跑 S1检测到了提权 添加VEH 以及executable file behaving like a shellcode

但注入和执行shellcode根本就没成功过 修完了连提权都是坏的

赛里木湖

BDTS ATD kill 2x
非DBG版本 注入成功后击杀，显示弹窗，这边测了两遍，第一次explorer卡死自动重启就好了，第二次explorer直接被BD拦截，无法自动重启笑死，系统重启后正常：

1. Bitdefender 偵測到潛在惡意行為並封鎖所有相關應用程式。
   
2. 偵測識別碼：SuspiciousBehavior.56EDF37D15069968
   
3. 
   
4. 應用程式 explorer.exe 已被偵測為可能是惡意程式並遭到封鎖。
   
5. 應用程式路徑： C:\Windows\explorer.exe
   
6. (命令列參數： "C:\Windows\explorer.exe")
   
7. 偵測識別碼：SuspiciousBehavior.56EDF37D16F3FDFE

复制代码

DBG版本 调试信息显示成功，但控制台退出时被拦截，未显示弹窗（第二次测试时发现控制台不退出等久一点就会显示弹窗，但是控制台一退出立刻拦截）：

1. Bitdefender 偵測到潛在惡意行為並封鎖所有相關應用程式。
   
2. 偵測識別碼：SuspiciousBehavior.56EDF37D57F0657B

复制代码

ulyanov2233

修复版两个都被elg杀掉了，要不要下个版本研究一下怎么过elg

2025/10/21 21:45:27;ESET LiveGuard;文件;C:\Users\Y8219\Downloads\StarFly3.4.1\StarFly.exe;ESET LiveGuard 特洛伊木马;无法清除;FIREFLY\Y8219;;7BF19FB9C64992F793872793950266D33D46855F;2025/10/21 21:39:21;S-1-5-21-2075981102-1163452476-1703001663-1001;

天穹沙箱

该样本StarFly.exe（MD5: 11ed27c4571c758d24b3c5a232a0d800）为一个针对Windows 7 64位系统的恶意可执行文件，具备明显的反分析与逃避检测特征，整体行为模式高度隐蔽，旨在规避沙箱、调试器及安全分析环境的检测。样本由名为SyStem.exe的父进程（PID:740）启动，自身以StarFly.exe（PID:1864）运行，随后创建了一个conhost.exe子进程（PID:1740）用于执行部分敏感操作，表明其可能通过系统组件伪装行为以降低警觉性。

样本在运行过程中表现出多层反调试与环境检测机制。首先，其通过调用`DetectDebugger` API检测是否存在调试器，同时利用`NtQueryInformationProcess`获取进程基本信息以判断是否处于分析环境中，属于典型的逃避分析技术。此外，样本还通过`CpuCheck`技术检测CPU特征，进一步判断运行环境是否为虚拟机或沙箱，增强其在分析环境中的存活能力。这些行为表明该样本具备较强的对抗静态与动态分析的能力。

在系统行为方面，样本尝试访问注册表键`Unknown Key\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics`，该路径与系统诊断功能相关，可能用于探测分析环境或获取系统配置信息。同时，样本尝试打开系统文件`C:\Windows\system32\ega.cpi`，该文件为系统资源文件，其访问行为可能用于验证系统完整性或作为后续攻击的跳板。尽管未发现明显的持久化、外联或数据窃取行为，但其对系统关键组件的访问和反分析机制已构成显著威胁。

样本未携带PE签名，且命中“AntiDebug_Check_Debugger”和“Syscall”Yara规则，进一步佐证其为恶意软件。综合来看，该样本属于具备高级逃避能力的恶意载荷，可能作为后续攻击的初始植入工具，建议结合网络流量、主机行为等进一步分析其完整攻击链，并加强终端防护策略，防止其在真实环境中执行。

tony099

虚拟机双击 红伞kill
卡巴斯基双击Miss shellcode被注入

z80405789

两个双击