edr - 第 19 | CN-SEC 中文网

程序逆向

EDRSilencer事件取证

netero1010 的 EDRSilencer netero1010/EDRSilencer: A tool uses Windows Filtering Platform (WFP) to blo...

02月14日57 views评论

阅读全文

程序逆向

通过重新映射ntdll.dll解除EDR hook

在这篇博客中，我们将深入探讨另一种可用于解开ntdll.dll的技术。在您的 DLL 被 EDR 挂钩的那一刻。我们将通过从磁盘加载 ntdll 来研究重新映射。我们还将验证 EDR 和您自己如何注意...

02月13日104 views评论

阅读全文

程序逆向

使用 C++ 实现规避 ETW检测

今天我将向您展示如何使用简单的 C++ 代码来规避 ETW 。什么是ETW？好的，所以 ETW 代表 Windows 的事件跟踪。现在，不要让这个名字吓跑你——它本质上是一个工具，可以帮助 Win...

02月13日57 views评论

阅读全文

安全文章

2024 年最新基于 Havoc C2的 AV/EDR 绕过方法(二)

这篇文章是第 1 部分的延续，我们通过启用 AV 的 DLL 劫持成功执行了 Havoc C2 反向 shell。现在，我们将做更多的事情来使我们的漏洞利用更加完整：使用重定向器服务器通过端口转发隐藏...

02月11日194 views评论

阅读全文

程序逆向

通过VEH（Vectored Exception Handling）进行syscall

前言在恶意软件开发的语境中，我遇到过术语 Vectored Exception Handling 或 Vectored Exception Handlers（简称 VEH），但直到现在我还没有真正掌握...

02月07日31 views评论

阅读全文

应急响应

记一次病毒应急

客户打电话给我说，发现内网有点不对劲，有些终端被断网几分钟，在FW上还发现了DOS攻击事件，于是上门排查现场环境：1、出口部署某公司FW；2、FW下联深信AC，网桥部署，控制用户上网行为及流控；3、A...

02月04日30 views评论

阅读全文

安全工具

EDRSilencer！禁止EDR出站流量工具

工具介绍工具使用Windows筛选平台 (WFP) 来阻止端点检测和响应 (EDR) 代理向服务器报告安全事件。受到MdSec NightHawk的闭源FireBlock工具FireBlock的启发...

02月02日69 views评论

阅读全文

安全文章

2024 年最新基于 Havoc C2的 AV/EDR 绕过方法

Havoc C2 是一种现代的恶意后利用框架，已迅速成为许多人最喜欢的开源 C2 之一。它的功能提供了完成渗透测试或红队参与所需的一切。它被设计为尽可能具有可塑性和模块化。也就是说，Demon 代理被...

01月29日89 views评论

阅读全文

安全闲碎

大模型如何辅助EDR进行告警分析？我们引入了一款研判机器人

数实融合时代，企业数据爆炸式增长，随之而来的海量安全告警也给企业的安全运维工作带来的严峻挑战，例如：● EDR、NDR、WAF等安全产品通常会依靠特定的规则生成告警，但只依赖具体的规则进行检测会产生大...

01月26日222 views评论

阅读全文

安全工具

Killer！逃避AV和EDR的免杀工具

工具介绍它是一个 AV/EDR 规避工具，旨在绕过安全工具进行学习，到目前为止，该工具还很 FUD。工具特点用于逃避内存扫描的模块踩踏通过新的 ntdll 副本取消 DLLIAT 隐藏和混淆以及 ...

01月21日58 views评论

阅读全文

安全新闻

绕过EDR探索系列一 | 用户模式HOOK

前言山石网科情报中心在分析狩猎样本时，对一些EDR对抗技术做了技术沉淀。该系列将由浅入深介绍EDR相关安全对抗技术。什么是 syscallWindows下有两种处理器访问模式：用户模式（user mo...

01月16日65 views评论

阅读全文

安全新闻

看EDR如何抓APT活动

之前公众号写过一些pr文章讲如何通过复杂之眼EDR去排查一些新的漏洞利用活动，在真实的客户组织机构下通过EDR遥测数据可以发现，被威胁行为者进行攻击。攻击线索不止是漏洞利用，对于运营EDR的威胁分析专...

01月13日26 views评论

阅读全文

EDRSilencer事件取证

通过重新映射ntdll.dll解除EDR hook

使用 C++ 实现规避 ETW检测

2024 年最新基于 Havoc C2的 AV/EDR 绕过方法(二)

通过VEH（Vectored Exception Handling）进行syscall

记一次病毒应急

EDRSilencer！禁止EDR出站流量工具

2024 年最新基于 Havoc C2的 AV/EDR 绕过方法

大模型如何辅助EDR进行告警分析？我们引入了一款研判机器人

Killer！逃避AV和EDR的免杀工具

绕过EDR探索系列一 | 用户模式HOOK

看EDR如何抓APT活动

在线咨询

微信