文章地址为:https://v-v.space/2025/05/15/CVE-2025-21297/已取得大佬转载同意,赛博昆仑的大佬是真滴多啊。 对作者敢兴趣的可以关注大佬的 x ,@vv47417...
EDR 规避:利用硬件断点的新技术 - Blindside
利用硬件断点逃避端点检测和响应 (EDR) 平台及其他控制系统的监控并非新鲜事。威胁行为者和研究人员都曾利用断点注入命令并执行恶意操作。使用 Windows 事件跟踪 (ETW) 和 Windows ...
EDR 分析:利用伪造 DLL、保护页和 VEH 增强检测
简介本文尝试通过调试和逆向工程来分析特定 EDR 的特定功能或检测机制。我的主要目标并非深入研究逆向工程过程的细节,而是深入理解 EDR 中新实现的检测机制的工作原理,探索该机制的功能,并探究其实现的...
KMDllInjector 是一个基于内核模式的 DLL 注入器
关于KMDllInjector 是一个基于内核模式的 DLL 注入器。该驱动程序可以配置为DllInjectorClient.exe使用PsSetLoadImageNotifyRoutine或PsSe...
Ntdll Unhook 下集
一、介绍取消 ntdll.dll 钩子的另一种方法是通过从挂起的进程读取它。这是可行的,因为 EDR(终端检测与响应系统) 需要运行中的进程来安装它们的挂钩,而在挂起状态下创建的进程会包含干净的 nt...
Ntdll Unhook 上集
一、介绍NTDLL 解除挂钩是将加载进程中的钩子 DLL 替换为未更改的未钩子版本,用未挂钩的版本替换挂钩的 DLL 需要手动设置 IAT、修复重新分配和其他繁琐的任务。为了避免这种情况, .text...
Windows10代码还原汇编特征汇总(附NTDLL CreateHeap还原代码)
写这篇文章的目的是想帮助刚开始或者准备开始研究windows系统的人员,此篇文章仅作为经验分享,是我在逆向还原windows10堆APICreateHeap和AllocateHeap以及Allocat...
免杀 | dump lssas进程
提升权限 DumpLsass需要SeDebugPrivilege权限,管理员Powershell默认是有的,流程是首先提升进程权限,看网络上的前辈视频和文章第一种方法用底层函数RtlAdjustPri...
2025 年 EDR 规避的新趋势
您已经知道端点检测和响应 (EDR)会监控 Windows API 调用是否存在可疑行为。通常,他们使用用户模式 API 挂钩等技术来拦截 ntdll.dll 中的函数。到目前为止,我们使用了诸如直接...
与猫捉老鼠相似的研究逃逸安全防护软件的技巧
我会在本文中列出一系列可用于绕过行业领先的企业终端保护解决方案的技术。出于安全的考虑,所以我决定不公开发布源代码。在模拟攻击中,“初始访问”阶段的一个关键挑战是绕过企业终端上的检测和响应能力 (EDR...
利用硬件断点来Unhook BitDefender
简介我们首先来了解一软件断点,软件断点其实就是在目标地址上注入一个int 3指令,也就是0xCC操作码。那么当CPU执行到该地址时会引发异常。通常是EXCEPTION_BREAKPOINT。最后异常处...
EDR回调学习
我们都知道在用户层(R3),每一个进程都有自己的执行环境,这意味着A进程崩溃了,但是是不会影响到B进程的。 用户空间和内核空间是彼此隔离的。所以用户空间的应用程序是无法访问到内核中的结构的,除非在内核...