Probatorum EDR Userland Hook Checker 使用教程

Probatorum EDR Userland Hook Checker 使用教程

Probatorum-EDR-Userland-Hook-CheckerProject to check which Nt/Zw functions your local EDR is hooking项目地址:https://gitcode.com/gh_mirrors/pr/Probatorum-EDR-Userland-Hook-Checker

1、项目介绍

Probatorum EDR Userland Hook Checker 是一个用于检测本地 Endpoint Detection & Response (EDR) 系统正在 hook 哪些关键的 Nt/Zw 函数的工具。该项目由 SolomonSklash 创立，并由其他开发者进行优化，以提供简洁且高效的检测机制。其核心在于检查 Nt/Zw 函数是否被篡改或重定向，通过比较预期的开头序列与实际的函数代码，来识别是否有 hook 行为。

2、项目快速启动

克隆项目

首先，克隆项目到本地：

git clone https://github.com/asaurusrex/Probatorum-EDR-Userland-Hook-Checker.git

编译项目

进入项目目录并编译：

cd Probatorum-EDR-Userland-Hook-Checker
mkdir build && cd build
cmake ..
make

运行项目

编译完成后，运行生成的二进制文件：

./Hook_Checker

3、应用案例和最佳实践

应用案例

• 红队成员：使用该工具了解目标环境中的监控级别和方式。
• 蓝队成员：评估 EDR 产品的有效性，以及识别可能的误报或漏报情况。
• 安全研究人员：深入了解系统如何被第三方软件监控。

最佳实践

• 定期检测：定期运行该工具，以监控系统中 EDR 的 hook 行为是否有变化。
• 结合其他工具：将该工具的输出与其他安全工具的输出结合分析，以获得更全面的安全视图。

4、典型生态项目

• Sysmon：一个系统监控工具，可以与 Probatorum EDR Userland Hook Checker 结合使用，提供更全面的系统监控。
• Wireshark：网络抓包工具，用于分析网络流量，与 Probatorum EDR Userland Hook Checker 结合，可以更好地理解网络层面的安全威胁。
• Metasploit：渗透测试框架，用于模拟攻击，与 Probatorum EDR Userland Hook Checker 结合，可以评估 EDR 系统的防御能力。

通过以上步骤和案例，您可以快速启动并使用 Probatorum EDR Userland Hook Checker 工具，结合其他生态项目，提升系统安全监控能力。

Probatorum-EDR-Userland-Hook-CheckerProject to check which Nt/Zw functions your local EDR is hooking项目地址:https://gitcode.com/gh_mirrors/pr/Probatorum-EDR-Userland-Hook-Checker