探秘TamperingSyscalls:绕过EDR的黑科技工具

于 2024-08-28 09:52:32 发布
阅读量101 收藏 1
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00683/article/details/141632075
版权

探秘TamperingSyscalls:绕过EDR的黑科技工具

TamperingSyscalls项目地址:https://gitcode.com/gh_mirrors/ta/TamperingSyscalls

在现代安全防御体系中,入侵检测系统特别是Endpoint Detection and Response(EDR)工具扮演了极其重要的角色。然而,在这场猫鼠游戏中,逆向工程师和安全研究人员总是在寻找新颖的方法来挑战现状。今天,我们聚焦于一个名为TamperingSyscalls的开源项目,它以独特的方式对系统调用进行了篡改,为对抗高级安全监控提供了一种激进的解决方案。

项目介绍

TamperingSyscalls是一个两部分组成的创新项目,结合了参数欺骗和系统调用检索功能,巧妙利用异常处理机制(EH)来规避EDR的严密监视。通过直接干预系统调用的执行流程,它开辟了一条绕过传统安全防护的新途径。

技术剖析

这一项目的核心在于深度操纵硬件级中断。首先,通过设置全局的未处理异常过滤器(SetUnhandledExceptionFilter),项目准备好了捕捉特定的异常——单步异常。接下来,它精确定位到含有特定汇编指令0f05的系统调用地址,这些通常是内核交互的入口点。一旦这个指令被触发,程序会抛出单步异常,而事先设定的异常处理器会接管控制权,此时,它微妙地修改寄存器状态,将敏感参数替换为NULL或预先设计好的值,瞒天过海。

应用场景

TamperingSyscalls的应用领域不仅仅局限于学术研究和漏洞挖掘。对于需要深入内核层面进行测试的安全研究者而言,该项目可作为强大工具,帮助他们模拟恶意行为而不被EDR发现,从而评估系统的安全性。此外,软件开发者在创建需要规避严格监控环境的测试案例时,也能从中找到灵感。

项目特点

  • 优雅的绕过策略:通过对硬件断点和异常处理的创造性运用,TamperingSyscalls实现了对系统调用逻辑的间接控制,绕过了基于参数检查的EDR防御。

  • 灵活的功能配置:用户可以通过简单的修改定义,对目标系统调用进行参数伪造,为定制化攻击情景提供了可能性。

  • 自动生成代码的能力:借助gen.py脚本,开发人员能够轻松生成针对特定系统调用的处理代码,简化集成过程。

  • 教育价值:即使不用于实际应用,TamperingSyscalls也是一扇窗口,让学习操作系统原理和网络安全的学者深刻理解硬件级安全控制的复杂性和脆弱性。

结语

在这个不断演化的信息安全战场上,TamperingSyscalls如同一把双刃剑,既展示了对抗现有安全措施的潜力,也为加固未来安全系统提供了独特的视角。对于所有希望深入了解Windows系统底层运作、探索边界的安全研究者而言,这无疑是一次不容错过的探险之旅。记住,知识的力量在于如何正确使用,让我们在安全探索的路上保持敬畏之心,前行不已。

本文旨在介绍而非鼓励不当行为。开发者应合法合规地使用此类工具,促进网络安全生态的健康发展。

TamperingSyscalls项目地址:https://gitcode.com/gh_mirrors/ta/TamperingSyscalls

余印榕
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
网络拓扑探秘:构建高效网络的基石
06-23
网络拓扑是指网络中各个组件(如计算机、服务器、交换机、路由器等)如何连接和布局的物理或逻辑结构。它决定了数据在网络中的流动路径以及网络的规模和复杂性。网络拓扑对网络的性能、可靠性和扩展性有着重要影响。...
探秘蓝桥杯:中国青少年计算机能力挑战赛介绍
06-23
蓝桥杯(The Blue Bridge Cup)是中国青少年中一项重要的计算机竞赛,旨在提高学生的计算机编程能力和解决问题的技能。本文将深入介绍蓝桥杯的背景、比赛形式、参与条件以及如何准备和参与比赛。
深入浅出Docker(二):Docker命令行探秘
02-21
Docker官方为了让用户快速了解Docker,提供了一个交互式教程,旨在帮助用户掌握Docker命令行的使用方法。但是由于Docker技术的快速发展,此交互式教程已经无法满足Docker用户的实际使用需求,所以让我们一起开始一次...
NET探秘:MSIL权威指南 PDF
03-12
NET探秘:MSIL权威指南 PDF 版本,可以好好学习。清晰的哦。
XcodeGhost探秘:苹果栽在了源码病毒手里
03-23
要知道在这之前,苹果的AppStore中只发现过5款恶意应用,但这次的规模显然比以往发现的加起来还  一向以封闭安全著称的苹果iOS系统,这次终于因为XcodeGhost事件在中国栽了一个大跟头。要知道在这之前,苹果的App...
“人力资源+大数据+薪酬报告+涨薪调薪”
08-27
人力资源+大数据+薪酬报告+涨薪调薪,在学习、工作生活中,越来越多的事务都会使用到报告,通常情况下,报告的内容含量大、篇幅较长。那么什么样的薪酬报告才是有效的呢?以下是小编精心整理的调薪申请报告,欢迎大家分享。相信老板看到这样的报告,一定会考虑涨薪的哦。
java-ssm+jsp雁门关风景区宣传网站实现源码
08-27
java-ssm+jsp雁门关风景区宣传网站 项目关键技术 开发工具:IDEA 、Eclipse 编程语言: Java 数据库: MySQL5.7+ 后端技术:ssm 前端技术:jsp 关键技术:jsp、spring、ssm、MYSQL、MAVEN 数据库工具:Navicat、SQLyog
springboot584科研管理系统_2byeq--.zip
08-27
随着计算机技术发展,计算机系统的应用已延伸到社会的各个领域,大量基于网络的广泛应用给生活带来了十分的便利。所以把科研管理与现在网络相结合,利用计算机搭建科研管理系统,实现科研的信息化。则对于进一步提高科研管理发展,丰富科研管理经验能起到不少的促进作用。 系统阐述的是使用科研管理系统,对于Java、B/S结构、MySql进行了较为深入的学习与应用。主要针对系统的设计,描述,实现和分析与测试方面来表明开发的过程。开发中使用了springboot框架和MySql数据库技术搭建系统的整体架构。利用这些技术结合实际需求开发了具有个人中心、用户管理、科研队伍管理、队伍信息管理、加入队伍管理、队伍申请管理、科研成果管理、项目成果申报管理、公告信息管理、资源文件管理、信息交流、系统管理等功能的系统,最后对系统进行相应的测试,测试系统有无存在问题以及测试用户权限来优化系统,最后系统达到预期目标。
基于微信小程序便捷饭店点餐小程序的设计与实现.docx
08-27
基于微信小程序便捷饭店点餐小程序的设计与实现.docx
基于ZigBee的无线控制系统软硬件设计.docx
08-27
基于ZigBee的无线控制系统软硬件设计.docx
C#开发web网页管理系统(asp.net)-毕业生论文答辩系统及数据库表的sql文件
08-27
系统需求:本系统分为学生及老师两个入口,学生进入后可进行论文题目选题,老师可以实现题目的发布及维护,并可查看学生的选题情况,同时可以对学生进行维护,并能够给出学生的论文成绩,最终可按不同的分数段统计学生人数(60以下,60-70,70-80,80-90,90以上)注意每学生仅能选一题,每题仅能有一个来选。 逻辑模型—— 学生信息表(学号, 密码, 姓名, 性别, 学院, 专业班级, 联系电话) 主码:学号 教师信息表(工号, 密码, 姓名, 性别, 学院, 职称) 主码:工号 课题信息表(课题号, 课题名, 课题要求, 指导老师工号, 发布时间) 主码:课题号 选题表(学号, 课题号, 选题时间, 是否通过, 指导老师工号) 主码:学号 外码:课题号,指导老师工号 成绩表(学号, 课题号, 答辩时间, 成绩, 指导老师工号) 主码:学号 外码:课题号,指导老师工号 使用本系统,需要部署本地的odbc接口程序,详见本篇——https://blog.csdn.net/liKeQing1027520/article/details/138703774 更多相关查看我的【数据库】专栏
【PID控制】基于matlab simulink模糊神经网络的PID控制器研究与设计【含Matlab源码 7369期】.mp4
08-27
Matlab研究室上传的视频均有对应的完整代码,皆可运行,亲测可用,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描视频QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作
智能温度控制系统硬件设计_毕业设计论文.doc
最新发布
08-27
智能温度控制系统硬件设计_毕业设计论文.doc
基于单片机无线电子点菜系统硬件设计及实现设计.doc
08-27
基于单片机无线电子点菜系统硬件设计及实现设计.doc
基于Kubernetes的容器批量调度引擎 Volcano是在Kubernetes上运行高性能工作负载的容器批量计算引擎
08-27
一个用于高性能工作负载场景下基于Kubernetes的容器批量调度引擎 Volcano是在Kubernetes上运行高性能工作负载的容器批量计算引擎。 它提供了Kubernetes目前缺少的一套机制,这些机制通常是许多高性能 工作负载所必需的,包括: - 机器学习/深度学习 - 生物学计算/基因计算 - 大数据应用
深入探索MySQL的存储引擎:数据持久化的奥秘
08-27
MySQL是一个流行的开源关系型数据库管理系统(RDBMS),广泛用于Web应用程序的后端数据存储。它基于结构化查询语言(SQL)来管理数据,并且是LAMP(Linux, Apache, MySQL, PHP/Python/Perl)技术栈的一部分,这个技术栈常用于构建动态网站和Web应用程序。 MySQL的特点包括: - **开放源代码**:MySQL的源代码是公开的,任何人都可以自由使用和修改。 - **跨平台**:MySQL可以在多种操作系统上运行,包括Linux、Windows、macOS等。 - **高性能**:MySQL以其快速的查询处理和良好的性能而闻名。 - **可靠性**:MySQL提供了多种机制来确保数据的完整性和可靠性,包括事务支持、备份和恢复功能。 - **易于使用**:MySQL提供了简单直观的界面和丰富的文档,便于用户学习和使用。 - **可扩展性**:MySQL支持从小型应用到大型企业级应用的扩展。 - **社区支持**:由于其广泛的使用,MySQL拥有一个活跃的开发者社区,提供大量的资源和支持。 MySQL被广泛应用于各种场景,包括在线事务处理(OL
osgQt最新源码资源
08-27
osgQt是一个桥接库,旨在将OpenSceneGraph(OSG)这一强大的3D图形引擎与Qt这一跨平台的C++图形用户界面应用程序开发框架无缝集成。通过osgQt,开发者能够充分利用OSG在三维渲染和场景管理方面的优势,同时享受Qt在界面设计、事件处理以及跨平台兼容性等方面的便利。
使用c语言来实现如果cmd中的ping
08-27
c语言实现如果cmd中的ping
在 OFDM 系统中减少 PAPR 的深度学习
08-27
PAPR-net 在 OFDM 系统中减少 PAPR 的深度学习。 操作环境 基于 Tensorflowbackend 的 Python 3.7 + Keras。 两个训练步骤 对于网络训练过程,可以分为两个步骤。 步骤1:encoder 和 decoder 中的参数是随机初始化的。损失函数中只有 BER 性能。此外,PAPR 网络中没有信道模型和 AWGN 模型。编码器的输出正是解码器的输入。 步骤2:使用步骤 1 中训练的参数作为初始值。损失函数由 BER 性能和 PAPR 性能组成。损失函数中 PAPR 性能的比例由超参数 \lambda 确定。此外,编码器和解码器之间还有一个通道层、一个 AWGN 层和一个通道均衡层。 主要功能 下面列出了每个文件或文件夹的主要用途: ofdm.py:两个主要类:OFDM 发射器和接收器,用于发送和接收比特流。一些功能:sunch qam 映射、Hermitian 变换和过采样。 PAPRNet.py:主要关于编码器、解码器和 PAPR 网络的定义,还有编码器和解码器之间的中间层使用的一些功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

余印榕

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值