推荐开源项目:EDR-Bypass-Demo
在这个网络安全日益重要的时代,了解和掌握如何绕过Endpoint Detection and Response (EDR) 和 Anti-Virus (AV) 工具显得尤为重要。EDR-Bypass-demo
是一个由78itsT3@m创建的开源项目,它提供了一系列的示例代码,旨在教授红队基础免杀技巧。这个项目不仅适合安全研究人员学习,也是软件开发者增强安全意识的理想资源。
项目介绍
EDR-Bypass-demo
包含多个C++和C#编写的示例,展示了如何通过多种策略来逃避安全软件的检测。该项目基于7bits系列文章《红队开发基础-基础免杀》,并提供了实际操作的代码片段。每个示例都清晰地解释了其免杀原理,并针对不同的安全机制进行了优化。
项目技术分析
项目中的代码涵盖了从基础到进阶的各种免杀技巧:
- Demo1 使用了
disableETW
,shellcode加密以及隐藏导入表的方式来实现C++ shellcode的免杀。 - Demo2 展示了C#中字符串和异或加密,以及沙箱绕过的策略,适用于对抗AV软件。
- Demo3 对
SharpInjector
进行了改进,利用EtwpCreateEtwThread
加载加密shellcode,增强了隐蔽性。 - Demo4 和 Demo5 介绍了如何利用系统调用(syscall)进行免杀,包括最基本的syscall示例和使用
SysWhispers3
的jump
方法绕过静态检查。 - Demo6 则展示了如何使用
RefleXXion
库对特定库(如user32.dll
)进行反挂钩。
此外,还包括了针对不同EDR工具的进一步优化示例,如chapter4
中的demo1
至demo4
,演示了如何在忽略流量特征的情况下,过掉360、火绒、Defender、McAfee、卡巴斯基EDR以及ESET EDR等常见安全产品。
项目及技术应用场景
这些技术可以应用于各种场景,如渗透测试、安全研究、漏洞利用开发或者软件逆向工程。对于企业安全团队来说,理解这些技巧可以帮助识别潜在威胁;对于研究人员而言,它是探索安全边界和提高防御能力的重要实践。
项目特点
- 实战性强:所有示例都有明确的免杀目标和效果展示,通过真实环境的测试验证了方法的有效性。
- 全面覆盖:涵盖多语言编写和多种技术手段,满足不同背景和需求的学习者。
- 持续更新:随着7bits系列文章的更新,项目也会不断添加新的示例和策略。
- 易懂易学:每个示例都有详细的技术说明,便于初学者理解和实践。
如果你对网络安全感兴趣,想要提升你的免杀技能,那么EDR-Bypass-demo
绝对是一个不容错过的开源项目。立即关注公众号 "Zbits2022" 获取更多相关资源,开始你的免杀之旅吧!