ntdll - 第 5 | CN-SEC 中文网

程序逆向

系统调用-3环进0环

系统调用-3环进0环前篇前面我们简单的介绍了一下，当我们在3环调用WindowsAPI时，系统是如何从3环调用0环的函数，那么本篇就来详细介绍一下，到底是怎么进入的，有哪几种方式。1_KUSER_SH...

11月21日86 views评论

阅读全文

安全文章

基于C++的绕过EDR的POC

点击蓝字关注我们免责声明本文发布的工具和脚本，仅用作测试和学习研究，禁止用于商业用途，不能保证其合法性，准确性，完整性和有效性，请根据情况自行判断。如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权...

11月13日68 views评论

阅读全文

程序逆向

如何快速从 64 位转储文件中找到异常发生时的线程上下文

一前言经常做调试的朋友可能会遇到在windbg里通过k系列命令得到的调用栈没有太大参考意义。一般是由于线程上下文不对导致的。这时候可以通过!analyze -v让windbg自动帮我们分析出正确的调用...

10月30日8 views评论

阅读全文

程序逆向

直接系统调用学习记录

什么是直接系统调用直接系统调用是windows系统上的操作,允许用户模式临时到内核模式.攻击者无需从kenel32.dll获取api或者是ntdll.dll。EDR现在的EDR厂商实现在Ring3层实...

10月20日20 views评论

阅读全文

安全文章

浅谈EDR绕过(猫&鼠还是象棋)

扫码领资料获黑客教程免费&进群这篇文章介绍了作者去年提出的一种新方法，用于阻止EDR DLLs加载到新生成的进程中。经过几个月的努力，作者成功地实现了这个想法，并在今年的x33fcon和Tro...

07月20日67 views评论

阅读全文

安全文章

如何使用Acheron修改Go程序中并尝试绕过反病毒产品的检测

【FreeBuf福利群招新啦！精美周边、现金红包送送送...满50人开启第一次抽奖，FreeBuf盲盒*2满100人开启第二次抽奖，FreeBuf大象公仔*2......群内不定期开启各种福利活动，包...

06月30日27 views评论

阅读全文

安全工具

HookDump - EDR钩子检测

低误报率检查DLL的列表，而不仅仅是NTDLL在一个函数的第二或第三条指令中找到钩子检测WOW系统调用存根的篡改情况没有ASCII艺术 &nb...

06月06日43 views评论

阅读全文

安全工具

一个新的免杀payload工具包

介绍Freeze.rs是一个有效负载工具包，用于使用挂起的进程绕过EDR，直接使用RUST编写的系统调用，用于绕过EDR安全控制，以秘密的方式执行shellcode。Freeze.rs 利用多种技术不...

05月19日133 views评论

阅读全文

安全文章

免杀！绕过EDR隐秘执行shellcode

声明：该公众号分享的安全工具和项目均来源于网络，仅供安全研究与学习之用，如用于其他用途，由使用者承担全部法律及连带责任，与工具作者和本公众号无关。现在只对常读和星标的公众号才展示大图推送，建议大家把H...

05月15日53 views评论

阅读全文

安全文章

bypass 行业最优质的EDR

现在当我和我的红队朋友谈及进程注入的话题时，回答通常是“是的……但是……”。因为检测的风险超过了在宿主进程中“寄生”的需要。典型的进程注入技术过于突出，而且注入往往与恶意活动有关。有时，我喜欢培养这种...

05月12日179 views评论

阅读全文

安全文章

最简单绕过ring3 hook的方式（bypass bitdefender）

本文已上传视频教学：https://www.bilibili.com/video/BV1Wy4y1X7Z5/?spm_id_from=333.999.0.0ntdll.dll常常是被挂钩的主要模块，当...

02月03日98 views评论

阅读全文

系统调用-3环进0环

基于C++的绕过EDR的POC

如何快速从 64 位转储文件中找到异常发生时的线程上下文

直接系统调用学习记录

浅谈EDR绕过(猫&鼠还是象棋)

如何使用Acheron修改Go程序中并尝试绕过反病毒产品的检测

最新GoLang免杀过国内主流杀软及卡巴斯基

HookDump - EDR钩子检测

一个新的免杀payload工具包

免杀！绕过EDR隐秘执行shellcode

bypass 行业最优质的EDR

最简单绕过ring3 hook的方式（bypass bitdefender）

在线咨询

微信