ntdll | CN-SEC 中文网

程序逆向

Ntdll Unhook 下集

一、介绍取消 ntdll.dll 钩子的另一种方法是通过从挂起的进程读取它。这是可行的，因为 EDR（终端检测与响应系统）需要运行中的进程来安装它们的挂钩，而在挂起状态下创建的进程会包含干净的 nt...

04月02日6 views评论

阅读全文

程序逆向

Ntdll Unhook 上集

一、介绍NTDLL 解除挂钩是将加载进程中的钩子 DLL 替换为未更改的未钩子版本，用未挂钩的版本替换挂钩的 DLL 需要手动设置 IAT、修复重新分配和其他繁琐的任务。为了避免这种情况， .text...

03月24日8 views评论

阅读全文

程序逆向

Windows10代码还原汇编特征汇总（附NTDLL CreateHeap还原代码）

写这篇文章的目的是想帮助刚开始或者准备开始研究windows系统的人员，此篇文章仅作为经验分享，是我在逆向还原windows10堆APICreateHeap和AllocateHeap以及Allocat...

02月25日12 views评论

阅读全文

安全文章

免杀 | dump lssas进程

提升权限 DumpLsass需要SeDebugPrivilege权限，管理员Powershell默认是有的,流程是首先提升进程权限,看网络上的前辈视频和文章第一种方法用底层函数RtlAdjustPri...

02月18日16 views评论

阅读全文

安全文章

2025 年 EDR 规避的新趋势

您已经知道端点检测和响应 (EDR)会监控 Windows API 调用是否存在可疑行为。通常，他们使用用户模式 API 挂钩等技术来拦截 ntdll.dll 中的函数。到目前为止，我们使用了诸如直接...

02月17日38 views评论

阅读全文

安全开发

与猫捉老鼠相似的研究逃逸安全防护软件的技巧

我会在本文中列出一系列可用于绕过行业领先的企业终端保护解决方案的技术。出于安全的考虑，所以我决定不公开发布源代码。在模拟攻击中，“初始访问”阶段的一个关键挑战是绕过企业终端上的检测和响应能力 (EDR...

02月15日6 views评论

阅读全文

程序逆向

利用硬件断点来Unhook BitDefender

简介我们首先来了解一软件断点，软件断点其实就是在目标地址上注入一个int 3指令，也就是0xCC操作码。那么当CPU执行到该地址时会引发异常。通常是EXCEPTION_BREAKPOINT。最后异常处...

02月09日9 views评论

阅读全文

安全文章

EDR回调学习

我们都知道在用户层(R3)，每一个进程都有自己的执行环境，这意味着A进程崩溃了，但是是不会影响到B进程的。用户空间和内核空间是彼此隔离的。所以用户空间的应用程序是无法访问到内核中的结构的，除非在内核...

02月08日18 views评论

阅读全文

安全工具

NativeBypassCredGuard：一款基于NTAPI的Credential Guard安全测试工具

关于NativeBypassCredGuardNativeBypassCredGuard是一款功能强大的Credential Guard安全测试工具，该工具可以帮助广大研究人员测试Credential...

01月17日13 views评论

阅读全文

程序逆向

Ntdll解除挂钩学习

欢迎加入我的知识星球，目前正在更新免杀相关的东西，129/永久，每100人加29，每周更新2-3篇上千字PDF文档。文档中会详细描述。目前已更新93+ PDF文档，《2025年了，人生中最好的投资就是...

01月09日19 views评论

阅读全文

安全文章

（反）EDR 概要

简介什么是 EDREDR 是“端点检测和响应”的缩写。它是部署在每台机器上的代理，用于观察操作系统生成的事件以识别攻击。如果检测到某些东西，它将生成警报并将其发送到 SIEM 或 SOAR，由人工分析...

01月02日14 views评论

阅读全文

程序逆向

免杀-edr动态检测shellcode绕过

动态保护在某次演习中使用集权系统下发木马一直不上线，但是在没有该edr的机器却能够上线成功，随后本地测试也没被杀。双击执行后出现此界面。分析保护已知情况如下：在未执行shellcode时不会弹窗（包括...

12月26日216 views评论

阅读全文