- 博客(251)
- 收藏
- 关注
原创 免杀实战-EDR对抗
x64dgb简单调试发现该edr在r3环对ntdll.dll和kernel32.dll关键函数均存在hook,这里硬盘读取原来的dll进行重新加载,原理如图。通过白名单+伪签名的黑dll上线,发现执行命令就死,猜测应该是cs的shell功能触发了edr的启发式导致被杀。这里伪造成杀软的子进程形成父进程信任链,通过ZwCreateThreadEx对子进程注入上线。发现还可以内存加载.NET,需要bypass etw和amsi。这里通过BOF执行命令。
2024-02-27 20:48:30 696
原创 RDI无文件落地-反射DLL注入
EDREDR技术不同于以往的基于边界、规则、策略为主的静态防御,是一种主动式端点安全防护技术,通过记录终端与网络事件(例如用户,文件,进程,注册表,内存和网络事件),结合已知的失陷指标(Indicators of Compromise,IOCs),运用行为分析和机器学习等技术来监测任何可能的安全威胁和恶意活动,并进行自动化的阻止、取证、补救和溯源,从而有效对端点进行防护。dll注入通过在目标进程中创建一个远程线程,通过向远程线程中传入对应的DLL,而直接将DLL加载到目标进程的虚拟空间之中RDI。
2024-01-19 22:39:47 610
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人