文章总结： 暗网出现一款售价1万美元的Windows内核微型植入工具，体积仅2000字节。该工具支持Win10与11，纯内存驻留无痕迹，通过SMB协议通信，能执行Shellcode并绕过PPL与EDR。其附带完整源码降低了内核攻击门槛，建议加强SMB流量监控与内存态攻击防御。 综合评分： 66 文章分类： 威胁情报,恶意软件,免杀,内网渗透

Windows内核微型植入曝光：2000字节即可实现内存隐身与远程控制-售价1万美元

Ots安全

2026年4月3日 14:06 广东

威胁简报

恶意软件

漏洞攻击

近日，Dark Web Informer传出一则消息：一位名为“coree”的威胁行为者，正在某知名地下论坛上兜售一款针对Windows系统的内核级（Ring-0）微型植入工具。

该工具体积小巧，仅约2000字节，却具备极强的隐蔽性和功能性，引起了安全研究人员的关注。工具主要特性根据公开披露的信息，这款植入工具支持以下Windows版本：

• Windows 10 x64（从1507到22H2）
• Windows 11 x64（从21H2到24H2）

它完全运行在内存中，重启后不留任何痕迹，极大降低了被取证发现的风险。通信方面，该工具通过系统常见的SMB协议（端口445）与控制端进行交互，数据传输采用简单异或加密方式，有效规避了常规流量检测。功能命令设计简洁实用：PING：用于检查植入工具是否就绪

• BURN：一键自删除，实现彻底清理
• RUN：在指定用户态进程中执行任意Shellcode，例如常见系统进程

值得注意的是，它能够绕过部分保护机制，包括进程保护锁（PPL）和常见终端检测响应（EDR）工具的钩子，实战隐蔽性较强。销售细节卖家提供了完整的源代码，基于Visual Studio 2019纯C语言开发，并包含NASM汇编文件，便于买家进一步定制或研究。

售价约为1万美元，仅限经过论坛验证的信誉买家，且需要付费注册才能查看完整信息。论坛截图显示，该帖吸引了不少讨论。部分评论认为，虽然价格不低，但它让更多普通技术人员也能接触到内核级能力，反映出此类高级工具的获取门槛正在逐渐降低。

END

公众号内容都来自国外平台-所有文章可通过点击阅读原文到达原文地址或参考地址

排版 编辑 | Ots 小安

采集 翻译 | Ots Ai牛马

公众号 | AnQuan7 (Ots安全)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Ots安全 《Windows内核微型植入曝光：2000字节即可实现内存隐身与远程控制-售价1万美元》