SysWhispers:基于直接系统调用的AV/EDR规避技术
项目地址: https://gitcode.com/gh_mirrors/sy/SysWhispers SysWhispers 是一个开源项目,旨在帮助安全研究人员和红队成员通过生成可以直接调用系统核心功能的头文件和汇编文件,从而规避安全产品如AV和EDR的检测。该项目主要使用Python编程语言开发。
项目基础介绍
SysWhispers 项目提供了一个工具,可以生成用于直接系统调用的头文件和汇编文件。这种技术通过绕过用户模式API钩子,允许植入程序直接调用操作系统的核心功能,从而规避一些安全产品的检测机制。SysWhispers 支持从Windows XP到Windows 10 19042 (20H2)的所有核心系统调用。
核心功能
- 生成直接系统调用文件:SysWhispers 可以生成用于直接系统调用的头文件和汇编文件,支持所有主流的Windows版本。
- 兼容性:生成的文件能够在多个Windows版本上工作,无需根据操作系统版本调用不同的函数。
- 易于集成:生成的文件可以轻松地集成到现有的项目中,如Visual Studio等开发环境。
- 安全性:通过直接系统调用,可以有效规避一些安全产品的检测机制。
最近更新的功能
SysWhispers 的最新更新包含以下功能:
- 改进的版本检测:不再使用RtlGetVersion查询操作系统版本,而是直接在汇编代码中查询PEB(Process Environment Block),以支持多个Windows版本的单一函数调用。
- 功能增强:更新了对各种系统调用的支持,包括但不限于内存分配、线程创建、进程打开等。
- 错误修复和性能优化:修复了一些可能导致编译错误的问题,并对代码进行了优化以提高效率和稳定性。
SysWhispers 项目的持续更新,使其成为一个强大的工具,对于安全研究和红队操作具有重要意义。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
