https://www.zerosalarium.com/2025/01/byovd%20next%20level%20blind%20EDR%20windows%20symbolic%20link.htmlC:Templog.txt文件中,但是攻击者在C:Templog.txt位置创建了一个符号链接。使它指向了C:WindowsSystem32important_file.dll。当程序试图写入到important_file.dll文件时,实际上它写入到了C:Templog.txt。如下创建的符号链接:
其实就是说假设驱动程序启动时会去往C:Templog.txt写文件,那么正好我们创建了一个符号链接,当它往这个log.txt文件中写入内容时,其实实际上写到了important_file.dll文件中。
mklink "C:Templog.txt""C:WindowsSystem32important_file.dll"c:windowsprocmon.pmb文件中。而如果对其通过符号链接到EDR的可执行文件中的话。那么当文件写入到c:windowsprocmon.pmb文件中时,实际上其实写入的是EDR可执行程序。这样就导致了致盲。
mklink C:WindowsProcMon.pmb"C:Program FilesWindows DefenderMsMpEng.exe"
c:windowsprocmon.pmb文件中。欢迎加入我的知识星球,目前正在更新免杀相关的东西,145/永久,每100人加29,每周更新2-3篇上千字PDF文档。文档中会详细描述。目前已更新105+ PDF文档,《2025年了,人生中最好的投资就是投资自己!!!》
加好友备注(星球)!!!
一些纷传的资源:
原文始发于微信公众号(Relay学安全):通过符号链接致盲EDR复现
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论