本周天终端安全开发直播,带你走进智能终端安全!WFP的callouts是由内核模块的wfp过滤框架向网络堆栈(netio.sys)注册的函数,也就是说callouts是最终防火墙或者网络过滤干活的处理...
禁止EDR出站流量工具:yuze
简单介绍: 该工具利用 Windows 本身的筛选平台 (WFP) 阻止EDR入侵检测和响应出站流量,使其不会向服务器报告安全事件,达到绕过的效果。 受 MdSec NightHawk 的闭源 Fir...
EDRSilencer事件取证
netero1010 的 EDRSilencer netero1010/EDRSilencer: A tool uses Windows Filtering Platform (WFP) to blo...
EDRSilencer!禁止EDR出站流量工具
工具介绍 工具使用Windows筛选平台 (WFP) 来阻止端点检测和响应 (EDR) 代理向服务器报告安全事件。受到MdSec NightHawk的闭源FireBlock工具FireBlock的启发...
工具推荐-禁止EDR出站流量
工具名为EDRSilencer地址:https://github.com/netero1010/EDRSilencer简单介绍:该工具利用 Windows 本身的筛选平台 (WFP) 阻止EDR入侵检...
物尽其用,新瓶装旧酒的套路
概述近期,鹰眼情报中心在内存防护数据中监测到一款针对中国网民的钓鱼攻击。该木马伪装相对隐蔽,通过钓鱼下载站伪装成输入法、驱动等程序。每个IP仅可访问一次下载页面,再次访问服务端不会返回恶意钓鱼链接。诱...
Windows网络过滤框架WFP(Windows Filtering Platform)
# Windows Filtering PlatformWindows Filtering Platform (WFP) 提供了灵活的方法来控制网络过滤。它公开了与网络堆栈的多个层交互的用户模式和内核...
【Part III】Windows事件响应指南
事件响应指南(完结篇)前排提示: 使用手机预览的时候, 横屏预览更佳~在我们Blue Team,针对Windows日志分析的场景占绝大多数,Windows 事件日志记录提供了源、用户名、计算机、事件类...
Windows Defender网络检查驱动逆向分析研究
本篇主要是介绍了 Windows Defender 如何通过使用 WFP(Windows 过滤平台)在内核中实现其网络检查功能,设备对象的安全描述符如何保护WFP免受潜在漏洞的影响,并详细介绍了我发现...
防火墙驱动开发之WFP网络过滤框架--过滤IP/端口
安全防护软件、软件防火墙等网络防御软件能阻挡大量的网络入侵,让已知的网络攻击无处遁形,并且对未知的网络攻击缓解甚至阻断。本文中针...