部署属于自己的EDR对抗环境

admin 2024年12月28日12:06:17评论6 views字数 635阅读2分7秒阅读模式

部署属于自己的EDR对抗环境

简介

很多时候会出现本地测试免杀正常,但是一传到目标真实环境,就会被查杀或者拦截的情况,其实还是本地环境部署的问题,这其中影响真实性的因素有很多,比如当前机器状态,虚拟化是否开启,是否更新最新的病毒库,EDR配置是否下发等等。

这里给出一点测试环境部署个人建议:

  • • 首先有物理机最好,但是很多时候并不一定有这个条件,那就虚拟机测试配置尽量拉高一点。
  • • 本机可以安装一些正常使用的软件。
  • • 如果支持虚拟化尽量把虚拟化开启。
  • • 可以手动更新病毒库。
  • • 虚拟机开机或者还原后,可以等待一段时间,比如EDR可能需要连接服务端或者最新的配置规则等等。
  • • 如果是快照,不要总是使用一个快照,定期更新快照
  • • 有条件可以更改硬配置信息,比如主机名,更换出口ip等等。

以上仅为个人建议,实际可以根据自己的情况来做自己的测试环境。

软件获取

关于测试的目标,比如EDR等软件,这一块其实挺难搞的,我这边从各种地方搜集了一些EDR终端,可以拿来做测试,也可以拿来做平时的对抗研究。

部署属于自己的EDR对抗环境
部署属于自己的EDR对抗环境
部署属于自己的EDR对抗环境
部署属于自己的EDR对抗环境
部署属于自己的EDR对抗环境

EDR软件网盘链接可以加入下面👇内部交流圈获取

这是一个纯粹,开放,前沿的技术交流社区,成员主要有互联网大厂安全部门任职的成员,乙方红队专家,以及正在学习入门的小白等,社区涉及的领域知识包括但不限于渗透,免杀开发,红蓝对抗,安全建设,考试认证,岗位招聘等等方面,还可以结识很多志同道合的朋友,提升自己的技术栈,开阔视野,提升眼界👇👇👇

部署属于自己的EDR对抗环境
部署属于自己的EDR对抗环境

欢迎加入交流圈

扫码获取更多精彩

部署属于自己的EDR对抗环境
部署属于自己的EDR对抗环境
部署属于自己的EDR对抗环境

推荐阅读:让数字x60杀软核晶失效的自适应模式银狐木马: 插件源码学习之文件系统银狐木马:杀死核晶状态下的x60

原文始发于微信公众号(黑晶):部署属于自己的EDR对抗环境

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月28日12:06:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   部署属于自己的EDR对抗环境https://cn-sec.com/archives/3558870.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息