直接系统调用与间接系统调用:安全绕过EDR的新策略

最新推荐文章于 2024-06-23 09:42:54 发布
最新推荐文章于 2024-06-23 09:42:54 发布
阅读量847 收藏 20
点赞数 10
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00093/article/details/139849935
版权

直接系统调用与间接系统调用:安全绕过EDR的新策略

去发现同类优质开源项目:https://gitcode.com/

在网络安全的战场上,攻击者和红队成员不断寻找新的技术和策略来规避检测。一个热门话题便是直接系统调用(Direct Syscalls)及其新兴替代方案——间接系统调用(Indirect Syscalls)。本开源项目“Direct-Syscalls-vs-Indirect-Syscalls”深入探讨了这两种方法,并提供了一个证明概念(Proof of Concept),展示了如何利用间接系统调用来提升隐蔽性和系统合规性。

项目介绍

该项目旨在研究和对比直接系统调用和间接系统调用在Windows环境下的效果。它揭示了直接系统调用可能遇到的限制,特别是随着Endpoint Detection and Response (EDR)解决方案的发展,这些调用可能会触发异常行为并被检测到。通过转向间接系统调用,攻击者或研究人员可以更接近模拟常规操作行为,从而降低被检测的可能性。

项目技术分析

直接系统调用通常涉及在非ntdll.dll内存区域执行关键操作,这可能引发EER的警报。相比之下,间接系统调用允许在ntdll.dll的内存中执行系统调用和返回语句,符合Windows环境的标准操作模式。这种方法更加巧妙且不易引起怀疑,因为正常的Windows应用程序往往会遵循这一行为。

项目提供了代码示例和详细的技术解释,帮助读者理解如何实现这种转换,以及如何避免因不寻常的系统活动而触发防御机制。

项目及技术应用场景

这项技术对于红队操作、安全测试和恶意软件研究尤其有价值。它可以用于:

  1. 在执行shellcode时减少被检测的概率。
  2. 创建复杂的安全绕过方案,以避开先进的EDR工具。
  3. 了解系统调用的工作原理,以及如何在恶意活动中应用这些知识。

项目特点

  1. 实战导向:项目不仅理论讲解,还提供了实际代码,供开发者和研究人员进行测试和学习。
  2. 持续更新:跟随操作系统和EDR解决方案的发展,项目将持续追踪最新的防御规避策略。
  3. 社区支持:作者感谢和提及的一系列专家和资源,表明了这个项目背后有一个活跃的社区,不断推动安全研究的进步。

请注意,所有提供的内容仅供研究用途,不得用于非法活动。

要深入了解这个主题,可以查看作者的相关博客文章Direct Syscalls vs Indirect Syscalls,以及参考项目中的链接,进一步探索系统调用和Windows内核的知识。

在这个不断发展的领域里,“Direct-Syscalls-vs-Indirect-Syscalls”项目是一个宝贵的资源,对于那些寻求提升其攻防技能的人来说,它无疑是一个值得尝试和学习的宝库。

去发现同类优质开源项目:https://gitcode.com/

使用了非标准扩展: 不支持在此结构上使用“__asm”关键字_[翻译]CobaltStrike 使用Beacon Object Files(BOF)进行 Direct Syscalls...
weixin_36352432的博客
01-14 3043
原文链接:https://outflank.nl/blog/2020/12/26/direct-syscalls-in-beacon-object-files/ 原文作者:Cornelis de Plaa在这篇文章中,我们将探讨在Cobalt Strike使用BOF进行直接系统调用(direct system calls)。具体来说:1.说明如何在Cobalt Strike BOF中使用...
安全术语扫盲
_南寻_的博客
02-09 1万+
行业术语扫盲 肉鸡 所谓“肉鸡”是一种很形象的比喻,比喻那些可以随意被我们控制的电脑,对方可以是WINDOWS系统,也可以是UNIX/LINUX系统,可以是普通的个人电脑,也可以是大型的服务器,我们可以像操作自己的电脑那样来操作它们,而不被对方发觉。 木马 木马就是表面上伪装成了正常的程序,但是当这些程序运行时,就会获取系统的整个控制权限。有很多黑客就是热衷于使用木马程序来控制别人的电脑,比如灰鸽子,黑洞,PcShare等等 远控 远程控制,是在网络上由一台电脑(主控端Remote/客户端)远距
syscall(SYS_gettid)间接系统调用
m0_46376834的博客
03-20 243
在linux下每一个进程都一个进程id,类型pid_t,可以由getpid()获取。POSIX线程也有线程id,类型pthread_t,可以由pthread_self()获取,线程id由线程库维护。那么这样就会存在一个问题,我的进程p1中的线程pt1要进程p2中的线程pt2通信怎么办,进程id不可以,线程id又可能重复,所以这里会有一个真实的线程id唯一标识,tid。glibc没有实现gettid的函数,所以我们可以通过linux下的系统调用syscall(SYS_gettid)来获得。
[转] 间接系统调用syscall(SYS_gettid)
weixin_30318645的博客
06-12 200
点击阅读原文 在linux下每一个进程都一个进程id,类型pid_t,可以由 getpid()获取。 POSIX线程也有线程id,类型pthread_t,可以由 pthread_self()获取,线程id由线程库维护。 但是各个进程独立,所以会有不同进程中线程号相同节的情况。那么这样就会存在一个问题,我的进程p1中的线程pt1要进程p2...
探秘HWSyscalls:创新的间接系统调用执行库
gitblog_00078的博客
05-10 462
探秘HWSyscalls:创新的间接系统调用执行库 去发现同类优质开源项目:https://gitcode.com/ 在软件安全和逆向工程领域,对系统调用(syscalls)的巧妙利用是至关重要的。今天,我们有幸介绍一个名为HWSyscalls的开源项目,它采用了一种新颖的方法来执行间接syscalls,巧妙地避开了常见的EDR(端点检测响应)和AV(反病毒)系统的检测。本文将带你深入了解这个项...
直击内核:Direct-Syscalls的低层级之旅
gitblog_00065的博客
06-23 280
直击内核:Direct-Syscalls的低层级之旅 去发现同类优质开源项目:https://gitcode.com/ 在当今安全研究红队行动的高端领域中,绕过防护机制并深入系统底层已成为了一门艺术。今天,我们将目光投向【Direct-Syscalls-A-journey-from-high-to-low】——一个将我们从熟悉的Windows API外壳拽入深层级直接系统调用世界的开源项目。 项...
绕过层层防御.pdf
10-06
"绕过层层防御"的主题探讨了如何穿透多层安全防护,这通常涉及创新的攻击技术和策略。这里我们将深入研究描述中提到的两个主要攻击技术:DLL侧加载劫持和间接代码执行。 DLL(动态链接库)侧加载劫持是一种高级的...
【系统吞吐量翻倍秘籍】:IB Specification Vol 1 Release 1.3网络性能优化
![IB Specification Vol 1 Release 1.3]... ...# 1. 网络性能优化的必要性目标 ## 网络性能优化的必要性 在现代IT环境中,网络是数据传输的关键基础设施。随着数据
Magma按键连接多用户管理策略:大规模用户连接的维护之道
[Magma按键连接多用户管理策略:大规模用户连接的维护之道](https://community.sap.com/legacyfs/online/storage/blog_attachments/2019/10/1-127.png) # 摘要 Magma按键连接多用户管理策略的研究旨在提高用户连接...
网络安全专业名词解释
aixmmmlll的博客
05-16 4324
1.Burp Suite 是一款信息安全从业人员必备的集成型的渗透测试工具,它采用自动测试和半自动测试的方式,通过拦截HTTP/HTTPS的Web数据包,充当浏览器和相关应用程序的中间人,进行拦截、修改、重放数据包进行测试,是Web安全人员的一把必备的瑞士军刀。 2.Bypass就是绕过的意思,渗透测试人员通过特殊语句的构建或者做混淆等进行渗透测试,然后达到绕过WAF的手法。 3.C2全称为Command and Control,命令控制,常见于APT攻击场景中。作动词解释时理解为恶意软件攻击者进行交互
LOLBITS:使用后台智能传输服务(BITS)作为通信协议和Direct Syscalls + Dinvoke进行EDR用户模式挂钩规避的C2框架
02-05
██╗ ██████╗ ██╗ ██████╗ ██╗████████╗███████╗ ██║ ██╔═══██╗██║ ██╔══██╗██║╚══██╔══╝██╔════╝ ██║ ██║ ██║██║ ██████╔╝██║ ██║ ███████╗ ██║ ██║ ██║██║ ██╔══██╗██║ ██║ ╚════██║ ███████╗╚██████╔╝███████╗██████╔╝██║ ██║ ███████║ ╚══════╝ ╚
一文读懂远程线程注入
qq_53058639的博客
10-27 186
在红队行动中,红队的目的都是要在不暴露自身行动的前提下,向蓝队发动攻击。他们使用各种技术和程序来隐藏C2连接和数据流。攻击活动的第一步是获得初始访问权。他们会使用定制的恶意软件和有效载荷来躲避防杀软和EDR等防御工具。本文涉及知识点实操练习:[DLL注入型病毒实验](https://www.hetianlab.com/expc.do?wemedia)(通过实验了解DLL注入型病毒的攻击过程)进程注入是用来逃避防御机制的重要技术之一。
syscalls
wzp1124358508的博客
06-25 529
SYSCALLS(2) Linux Programmer’s Manual SYSCALLS(2) NAME syscalls - Linux system calls SYNOPSIS Linux system calls. DESCRIPTION Th...
间接系统调用syscall(SYS_gettid)
辛明辉的专栏
10-26 1万+
在linux下每一个进程都一个进程id,类型pid_t,可以由getpid()获取。POSIX线程也有线程id,类型pthread_t,可以由pthread_self()获取,线程id由线程库维护。但是各个进程独立,所以会有不同进程中线程号相同节的情况。那么这样就会存在一个问题,我的进程p1中的线程pt1要进程p2中的线程pt2通信怎么办,进程id不可以,线程id又可能重复,所以这里会有一个真实的
系统调用的概念和作用
m0_52559870的博客
05-13 9319
一、什么是系统调用,有何作用 1.概念 用户接口 命令接口-允许用户直接使用 程序接口-允许用户通过程序间接使用:由一组系统调用组成 系统调用系统调用”是操作系统提供给应用程序(程序员/编程人员)使用的接口,可以理解为一种可供应用程序调用的特殊函数,应用程序可以发出系统调用请求来获得操作系统的服务。会使处理器从用户态进入核心态 2.作用 生活场景:你去学校打印店打印论文,当你按下“打印”之后,打印机开始工作。你的论文打印到一半时,另一位同学按下了“打印”按钮开始打印他自己的论文。..
系统调用
热门推荐
一直走,不要回头
03-02 1万+
程序接口是 OS 专门为用户程序设置的,也是用户程序取得 OS 服务的唯一途径。程序接口通常是由各种类型的系统调用所组成的,因而,也可以说,系统调用提供了用户程序和操作系统之间的接口,应用程序通过系统调用实现其 OS 的通信,并可取得它的服务。 处理器(CPU)=运算器+控制器+寄存器+高速缓存 系统调用的基本概念 通常,在 OS 的核心中都设置了一组用于实现各种系统功能...
hztxt.shxVAR_LINE.SHX
最新发布
05-17
拷贝到Auto CAD的Fonts下
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

侯深业Dorian

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值