ntdll | CN-SEC 中文网

安全漏洞

poc | Windows 远程桌面网关 (RD Gateway) CVE-2025-21297介绍

文章地址为：https://v-v.space/2025/05/15/CVE-2025-21297/已取得大佬转载同意，赛博昆仑的大佬是真滴多啊。对作者敢兴趣的可以关注大佬的 x ，@vv47417...

05月19日17 views评论

阅读全文

安全文章

EDR 规避：利用硬件断点的新技术 - Blindside

利用硬件断点逃避端点检测和响应 (EDR) 平台及其他控制系统的监控并非新鲜事。威胁行为者和研究人员都曾利用断点注入命令并执行恶意操作。使用 Windows 事件跟踪 (ETW) 和 Windows ...

05月16日11 views评论

阅读全文

安全文章

EDR 分析：利用伪造 DLL、保护页和 VEH 增强检测

简介本文尝试通过调试和逆向工程来分析特定 EDR 的特定功能或检测机制。我的主要目标并非深入研究逆向工程过程的细节，而是深入理解 EDR 中新实现的检测机制的工作原理，探索该机制的功能，并探究其实现的...

05月15日9 views评论

阅读全文

安全工具

KMDllInjector 是一个基于内核模式的 DLL 注入器

关于KMDllInjector 是一个基于内核模式的 DLL 注入器。该驱动程序可以配置为DllInjectorClient.exe使用PsSetLoadImageNotifyRoutine或PsSe...

04月28日6 views评论

阅读全文

程序逆向

Ntdll Unhook 下集

一、介绍取消 ntdll.dll 钩子的另一种方法是通过从挂起的进程读取它。这是可行的，因为 EDR（终端检测与响应系统）需要运行中的进程来安装它们的挂钩，而在挂起状态下创建的进程会包含干净的 nt...

04月02日10 views评论

阅读全文

程序逆向

Ntdll Unhook 上集

一、介绍NTDLL 解除挂钩是将加载进程中的钩子 DLL 替换为未更改的未钩子版本，用未挂钩的版本替换挂钩的 DLL 需要手动设置 IAT、修复重新分配和其他繁琐的任务。为了避免这种情况， .text...

03月24日10 views评论

阅读全文

程序逆向

Windows10代码还原汇编特征汇总（附NTDLL CreateHeap还原代码）

写这篇文章的目的是想帮助刚开始或者准备开始研究windows系统的人员，此篇文章仅作为经验分享，是我在逆向还原windows10堆APICreateHeap和AllocateHeap以及Allocat...

02月25日14 views评论

阅读全文

安全文章

免杀 | dump lssas进程

提升权限 DumpLsass需要SeDebugPrivilege权限，管理员Powershell默认是有的,流程是首先提升进程权限,看网络上的前辈视频和文章第一种方法用底层函数RtlAdjustPri...

02月18日20 views评论

阅读全文

安全文章

2025 年 EDR 规避的新趋势

您已经知道端点检测和响应 (EDR)会监控 Windows API 调用是否存在可疑行为。通常，他们使用用户模式 API 挂钩等技术来拦截 ntdll.dll 中的函数。到目前为止，我们使用了诸如直接...

02月17日52 views评论

阅读全文

安全开发

与猫捉老鼠相似的研究逃逸安全防护软件的技巧

我会在本文中列出一系列可用于绕过行业领先的企业终端保护解决方案的技术。出于安全的考虑，所以我决定不公开发布源代码。在模拟攻击中，“初始访问”阶段的一个关键挑战是绕过企业终端上的检测和响应能力 (EDR...

02月15日7 views评论

阅读全文

程序逆向

利用硬件断点来Unhook BitDefender

简介我们首先来了解一软件断点，软件断点其实就是在目标地址上注入一个int 3指令，也就是0xCC操作码。那么当CPU执行到该地址时会引发异常。通常是EXCEPTION_BREAKPOINT。最后异常处...

02月09日9 views评论

阅读全文

安全文章

EDR回调学习

我们都知道在用户层(R3)，每一个进程都有自己的执行环境，这意味着A进程崩溃了，但是是不会影响到B进程的。用户空间和内核空间是彼此隔离的。所以用户空间的应用程序是无法访问到内核中的结构的，除非在内核...

02月08日23 views评论

阅读全文

poc | Windows 远程桌面网关 (RD Gateway) CVE-2025-21297介绍

EDR 规避：利用硬件断点的新技术 - Blindside

EDR 分析：利用伪造 DLL、保护页和 VEH 增强检测

KMDllInjector 是一个基于内核模式的 DLL 注入器

Ntdll Unhook 下集

Ntdll Unhook 上集

Windows10代码还原汇编特征汇总（附NTDLL CreateHeap还原代码）

免杀 | dump lssas进程

2025 年 EDR 规避的新趋势

与猫捉老鼠相似的研究逃逸安全防护软件的技巧

利用硬件断点来Unhook BitDefender

EDR回调学习

在线咨询

微信