UnhookingPatch 开源项目教程

UnhookingPatch 开源项目教程

UnhookingPatchBypass EDR Hooks by patching NT API stub, and resolving SSNs and syscall instructions at runtime项目地址:https://gitcode.com/gh_mirrors/unh/UnhookingPatch

项目介绍

UnhookingPatch 是一个旨在绕过 EDR（Endpoint Detection and Response）钩子的开源项目。它通过修补 NT API 存根并在运行时解析 SSNs 和系统调用指令来实现这一目标。该项目主要使用 C++ 和 Python 编写，适用于需要增强系统安全性的开发者和安全研究人员。

项目快速启动

环境准备

1. 确保你已经安装了 Python 环境。
2. 安装所需的依赖包：

   pip install macaddress
   

快速启动代码

以下是一个简单的示例代码，展示了如何使用 UnhookingPatch 项目中的 bin2mac.py 脚本将二进制文件转换为 MAC 地址：

# bin2mac.py
import macaddress

def convert_binary_to_mac(binary_file):
    with open(binary_file, 'rb') as f:
        data = f.read()
    mac = macaddress.MAC(data)
    return str(mac)

if __name__ == "__main__":
    binary_file = 'calc.bin'
    mac_address = convert_binary_to_mac(binary_file)
    print(f"Converted MAC Address: {mac_address}")

运行示例

1. 将上述代码保存为 bin2mac.py。
2. 准备一个二进制文件 calc.bin。
3. 运行脚本：

   python bin2mac.py
   

应用案例和最佳实践

应用案例

UnhookingPatch 可以用于以下场景：

• 在开发安全工具时，绕过 EDR 的钩子以确保工具的正常运行。
• 在渗透测试中，绕过目标系统的 EDR 以进行更深入的测试。

最佳实践

• 在使用 UnhookingPatch 时，确保你了解相关的法律法规，不要用于非法目的。
• 定期更新项目依赖，以确保安全性。
• 在实际应用中，结合其他安全工具和策略，形成完整的安全解决方案。

典型生态项目

UnhookingPatch 可以与其他开源安全项目结合使用，例如：

• Metasploit: 用于渗透测试的框架，可以结合 UnhookingPatch 进行更有效的测试。
• Cuckoo Sandbox: 用于自动化分析恶意软件的工具，可以利用 UnhookingPatch 绕过 EDR 进行更深入的分析。
• Sysmon: 系统监视工具，可以与 UnhookingPatch 结合使用，增强系统的监控和防御能力。

通过这些生态项目的结合，可以构建一个更全面的安全防护体系。

UnhookingPatchBypass EDR Hooks by patching NT API stub, and resolving SSNs and syscall instructions at runtime项目地址:https://gitcode.com/gh_mirrors/unh/UnhookingPatch