“ 本文是白驱动Kill AV/EDR 的第一部分,将讨论驱动开发原理,杀软/EDR 监控拦截原理,并且编写驱动简单实现杀软/EDR 对某些行为的拦截。” myzxcg@深蓝攻防实验室 免责声明 ——...
九维团队-红队(突破)| 如何让杀软变得与世不争
一、写在前面相信许多网安人经常会遇到这种情况:每每做一些“敏感操作”时,总会遇到各种各样的安全软件对行为拦截。正巧笔者想起了前两年xjun师傅原创的文章《利用procexp驱动突破PPL限制》,于是本...
可绕过EDR和PPL保护内存转储工具
工具简介 POSTDump是ReactOS minidump函数(如nanodump)的C#/.NET实现,从而避免调用Windows API MiniDumpWriteDump函数,它使用几种技术绕...
漏洞研究文摘 - 第 1 期(2022 年 macOS/iOS)
POC 2022 的 Apple 神经引擎 ( @_simo36 )https://github.com/0x36/weightBufs/blob/main/attacking_a...
解决PPL注入技术的bug
0. 前言上篇文章中我使用PPLDump在services.exe这个PPL级别为WinTcb-Light的进程中进行shellcode注入,并成功在诸如wininit.exe或MsMpEng.exe...
黑帽大会演讲稿 -BLACKHAT_Asia2023
BLACKHAT_Asia2023├── AS-23-Babkin-firmWar-An-Imminent-Threat-to-the-Foundation-of-Computing.pdf (计算基...
原创Paper | Windows 的 PPL 安全机制和绕过
作者:0x7F@知道创宇404实验室日期:2023年5月5日0x00 前言参考资料Windows 从 vista 版本引入一种进程保护机制(Process Protection),用于更进一步的控制进...
绕过 Userland 的 LSA 保护(Bypass PPL)
免责声明本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。只供对已授权的目标使用测试,对未授权目标的测试作者不承担责任...
PPL攻击详解
点击蓝字 / 关注我们PPLPPL表示“受保护的流程”,但在此之前,只有“受保护的流程”。Windows Vista / Server 2008引入了受保护进程的概念,其目的不是保...
PPL利用
PPL PPL表示“受保护的流程”,但在此之前,只有“受保护的流程”。Windows Vista / Server 2008引入了受保护进程的概念,其目的不是保护您的数据或凭据。其最初目标是保护媒体内...
PPL利用
PPL PPL表示“受保护的流程”,但在此之前,只有“受保护的流程”。Windows Vista / Server 2008引入了受保护进程的概念,其目的不是保护您的数据或凭据。其最初目标是保护媒体内...
Protected Process Light (PPL) Attack
PP/PPL(s)背景概念 首先,PPL表示Protected Process Light,但在此之前,只有Protected Processes。受保护进程的概念是随Windows Vista / ...