探索端点安全的利器:EDRHunt
EDRHuntScan installed EDRs and AVs on Windows项目地址:https://gitcode.com/gh_mirrors/ed/EDRHunt
在网络安全的世界中,Endpoint Detection and Response(端点检测和响应)工具是防御者的重要防线,但对攻击者而言,这些工具同样构成了挑战。为此,我们向您推荐一个名为 EDHRunt 的强大开源项目,它能帮助您扫描并识别Windows系统上的各种EDR工具。
项目介绍
EDRHunt 是 FourCore Labs 团队开发的一款工具,其目标是检查Windows服务、驱动程序、进程、注册表和WMI,寻找已安装的EDR软件。通过简单的命令行界面,它提供了一种快速有效的方式来检测系统中是否存在任何已知的EDR产品,从而为红队操作或渗透测试提供重要信息。
项目技术分析
EDRHunt 使用Go语言编写,易于安装和执行。它内置了针对多个知名EDR产品的特征匹配算法,包括但不限于Windows Defender、Kaspersky Security等。该项目支持扫描四种关键领域:
- 进程:查找与EDR相关的可疑进程。
- 驱动:检查可能与EDR相关的驱动文件。
- 服务:监测EDR相关服务。
- 注册表和WMI:在系统注册表和WMI存储库中搜索线索。
此外,EDRHunt具备良好的可扩展性,未来将添加更多EDR的检测支持。
项目及技术应用场景
无论是进行渗透测试、红队演练,还是在日常维护中排查潜在的安全问题,EDRHunt都能大显身手。通过其提供的详细扫描结果,您可以:
- 验证安全配置:确保您的环境未被未经授权的EDR工具侵入。
- 了解对手活动:在模拟攻击过程中,了解对方是否已经部署了EDR。
- 教育与研究:学习如何绕过或规避EDR机制。
项目特点
- 简单易用:一键式扫描,结果清晰明了。
- 全面扫描:覆盖进程、驱动、服务、注册表和WMI五个维度。
- 持续更新:不断新增更多EDR产品的检测规则。
- 轻量级:无需复杂的设置,适用于各类规模的Windows环境。
操作示例
只需下载最新版本的二进制文件,或者通过Go环境直接编译,即可运行以下命令:
.\EDRHunt.exe scan
它将快速地显示所有检测到的EDR实例。
要进行全面扫描,可以使用:
.\EDRHunt.exe all
这将深入到系统的每个角落,提供更详细的诊断信息。
结论
EDRHunt 是一款强大的开源工具,它让EDR检测变得简单且高效。无论你是安全研究人员还是系统管理员,都应该将其纳入你的工具箱。立即加入四核实验室社区,参与测试并贡献你的发现,共同提升端点安全的防护水平。
EDRHuntScan installed EDRs and AVs on Windows项目地址:https://gitcode.com/gh_mirrors/ed/EDRHunt