ntdll - 第 2 | CN-SEC 中文网

安全工具

NativeBypassCredGuard：一款基于NTAPI的Credential Guard安全测试工具

关于NativeBypassCredGuardNativeBypassCredGuard是一款功能强大的Credential Guard安全测试工具，该工具可以帮助广大研究人员测试Credential...

01月17日13 views评论

阅读全文

程序逆向

Ntdll解除挂钩学习

欢迎加入我的知识星球，目前正在更新免杀相关的东西，129/永久，每100人加29，每周更新2-3篇上千字PDF文档。文档中会详细描述。目前已更新93+ PDF文档，《2025年了，人生中最好的投资就是...

01月09日22 views评论

阅读全文

安全文章

（反）EDR 概要

简介什么是 EDREDR 是“端点检测和响应”的缩写。它是部署在每台机器上的代理，用于观察操作系统生成的事件以识别攻击。如果检测到某些东西，它将生成警报并将其发送到 SIEM 或 SOAR，由人工分析...

01月02日18 views评论

阅读全文

程序逆向

免杀-edr动态检测shellcode绕过

动态保护在某次演习中使用集权系统下发木马一直不上线，但是在没有该edr的机器却能够上线成功，随后本地测试也没被杀。双击执行后出现此界面。分析保护已知情况如下：在未执行shellcode时不会弹窗（包括...

12月26日261 views评论

阅读全文

程序逆向

Syscall入门之Hellsgate分析

0x00 前言从现在杀软对抗的角度和技术来讲，syscall 可以说是 loader 中一个不可缺少的技术。为什么 syscall 逐渐成为主流？很早之前杀软其实只会对 kernel32 中（R3...

12月21日40 views评论

阅读全文

安全文章

Ezekiels Wheel (Hells Gate 技术分析)

Ezekiels Wheel (Hells Gate Analysis)本文是对_Hells Gate_[1] 恶意代码的技术分析。该恶意代码包含一种在 Windows 操作系统上执行系统调用的技术，...

12月17日3 views评论

阅读全文

安全文章

【MalDev-10】免杀-3

05-高级免杀01-syscalls应用层API通过调用syscalls执行内核操作，成功后将结果返回给应用层API，执行某些功能可以直接调用syscallsSyscall ID：每一个系统为每一个S...

12月16日19 views评论

阅读全文

安全文章

通过系统调用(syscall)绕过杀软用户模式API检测

Windows下有两种处理器访问模式：用户模式和内核模式。用户模式下运行应用程序时，Windows 会为该程序创建一个新进程，提供一个私有虚拟地址空间和一个私有句柄表，因为私有，一个应用程序无法修改另...

12月10日56 views评论

阅读全文

安全文章

EDR 规避：利用硬件断点的新技术 - Blindside

利用硬件断点逃避端点检测和响应 (EDR) 平台和其他控制系统的监控并不是一个新概念。威胁行为者和研究人员都曾利用断点注入命令并执行恶意操作。使用 Windows 事件跟踪 (ETW) 和 Windo...

12月08日51 views评论

阅读全文

安全文章

深入理解系统调用：原理、应用与最佳实践

*本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。01用户态 API 挂钩用户模式 API 挂钩使 EDR 能够动态检查在 Windows API 或本机 API 上下文中执行的...

11月29日11 views评论

阅读全文

安全文章

伪造调用栈来迷惑EDR和杀软

调用栈调用栈是EDR产品一个被低估但通常重要的遥测数据源。它们可以为事件提供重要的上下文，并在确定误报和真正阳性（尤其是在凭证盗窃事件，例如对lsass的句柄访问）方面成为一个极其强大的工具。已经有一...

11月28日23 views评论

阅读全文

安全漏洞

Microsoft Word 远程代码执行漏洞（CVE-2023-21716）

概述Microsoft Word 是 Microsoft Office 附带的文字处理应用程序。根据默认安装，Microsoft Word 处理多信息文本格式 (RTF) 文档。Microsoft O...

11月24日30 views评论

阅读全文

NativeBypassCredGuard：一款基于NTAPI的Credential Guard安全测试工具

Ntdll解除挂钩学习

（反）EDR 概要

免杀-edr动态检测shellcode绕过

Syscall入门之Hellsgate分析

Ezekiels Wheel (Hells Gate 技术分析)

【MalDev-10】免杀-3

通过系统调用(syscall)绕过杀软用户模式API检测

EDR 规避：利用硬件断点的新技术 - Blindside

深入理解系统调用：原理、应用与最佳实践

伪造调用栈来迷惑EDR和杀软

Microsoft Word 远程代码执行漏洞（CVE-2023-21716）

在线咨询

微信