探索 Freeze.rs：绕过EDR安全控制的新一代工具

探索 Freeze.rs：绕过EDR安全控制的新一代工具

Freeze.rsFreeze.rs is a payload toolkit for bypassing EDRs using suspended processes, direct syscalls written in RUST项目地址:https://gitcode.com/gh_mirrors/fr/Freeze.rs

项目介绍

请注意，此仓库已被归档，请前往新的GitHub地址 查看最新版本和提交问题。

Freeze.rs是一个创新的payload创建工具，旨在规避Endpoint Detection and Response（EDR）安全控件，并以隐蔽方式执行shellcode。这个框架通过独特的技术手段移除了Userland EDR挂钩，并巧妙地在监控系统中穿行。

项目技术分析

Freeze.rs的核心在于创建暂停状态的进程和利用Address Space Layout Randomization（ASLR）。当一个进程被创建并处于暂停状态时，Ntdll.dll是第一个加载的DLL，而其他EDR DLL尚未加载，因此syscalls保持未修改的状态。

此外，该工具有效利用了ASLR的特性来读取远程进程内存，即使目标过程受到地址随机化保护。由于系统DLL的基础地址在每次启动时都是固定的，Freeze.rs能从自身进程中获取这些信息，无需枚举已暂停的进程。

Freeze.rs还通过补丁技术干扰Event Tracing for Windows（ETW），防止ETW事件产生，从而进一步提高隐蔽性。

最后，它采用Rust语言实现，并结合NTAPI库，确保所有shellcode执行都在Ntdll.dll内，避开可能被挂钩的标准调用。

项目及技术应用场景

Freeze.rs适用于网络安全研究人员、渗透测试人员以及希望了解高级恶意软件行为的安全专业人员。其应用场景包括：

1. 对抗EDR解决方案：帮助研究人员理解如何绕过常见的端点防护策略。
2. 渗透测试：在安全测试环境中模拟复杂攻击，评估系统的防御能力。
3. 安全研究：探索新型威胁技术，提升对现代恶意软件的理解。

项目特点

1. 创新的暂停状态技术：利用暂停的进程去除EDR钩子，保证原始syscalls不受影响。
2. 智能ASLR利用：无需枚举远程进程，即可精确找到并读取所需内存。
3. ETW补丁：有效阻止ETW事件生成，增加隐形性。
4. 多种加密选项：支持AES、ELZMA和RC4等多种加密算法，增强shellcode安全性。
5. 灵活的payload生成：可生成EXE或DLL文件，甚至添加自定义导出函数。

总而言之，Freeze.rs为安全社区提供了一个独特且强大的工具，用于研究和对抗不断演变的EDR安全挑战。它的先进技术和隐藏策略使其成为任何安全专家值得探索的领域。如果你对此感兴趣，不妨直接访问新地址开始你的旅程！

Freeze.rsFreeze.rs is a payload toolkit for bypassing EDRs using suspended processes, direct syscalls written in RUST项目地址:https://gitcode.com/gh_mirrors/fr/Freeze.rs