部署属于自己的EDR对抗环境
简介
很多时候会出现本地测试免杀正常,但是一传到目标真实环境,就会被查杀或者拦截的情况,其实还是本地环境部署的问题,这其中影响真实性的因素有很多,比如当前机器状态,虚拟化是否开启,是否更新最新的病毒库,EDR配置是否下发等等。
这里给出一点测试环境部署个人建议:
-
• 首先有物理机最好,但是很多时候并不一定有这个条件,那就虚拟机测试配置尽量拉高一点。 -
• 本机可以安装一些正常使用的软件。 -
• 如果支持虚拟化尽量把虚拟化开启。 -
• 可以手动更新病毒库。 -
• 虚拟机开机或者还原后,可以等待一段时间,比如EDR可能需要连接服务端或者最新的配置规则等等。 -
• 如果是快照,不要总是使用一个快照,定期更新快照 -
• 有条件可以更改硬配置信息,比如主机名,更换出口ip等等。
以上仅为个人建议,实际可以根据自己的情况来做自己的测试环境。
软件获取
关于测试的目标,比如EDR等软件,这一块其实挺难搞的,我这边从各种地方搜集了一些EDR终端,可以拿来做测试,也可以拿来做平时的对抗研究。
EDR软件网盘链接可以加入下面👇内部交流圈获取。
这是一个纯粹,开放,前沿的技术交流社区,成员主要有互联网大厂安全部门任职的成员,乙方红队专家,以及正在学习入门的小白等,社区涉及的领域知识包括但不限于渗透,免杀开发,红蓝对抗,安全建设,考试认证,岗位招聘等等方面,还可以结识很多志同道合的朋友,提升自己的技术栈,开阔视野,提升眼界👇👇👇
欢迎加入交流圈
扫码获取更多精彩
原文始发于微信公众号(黑晶):部署属于自己的EDR对抗环境
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论