Search Results

在上个小节，我们讨论了 EDR 在用户态设置 Hook 的原理，那么相应地，我们可以根据这原理寻找间隙，实现对用户态 Hook 的绕过。截至目前，已经有多种方法绕过 Hook。不过，Hook 并非 EDR 的全部检测能力的来源，因此绕过 Hook 的这个过程本身可能就会被检测为恶意。不过无论如何，在这个小节，我们会过一下常见的一些用于绕过 Hook 的方法，以及它们的 IOC。在下个小节，我们会继续探讨绕过用户态 Hook 的方法，虽然会更加复杂一些。 检测内联 Hook 内联 Hook 的实施是在要 Ho...

有效的 EDR 测试环境对于我们检验自己所写载荷的规避性能十分重要。可惜的是，EDR 几乎都不对个人用户开放，而且通常都有着最低设备数量要求，价格也不菲。除了在公司里申请一个配置了 EDR 的测试主机外或者申请一期一会的免费试用，本小节内容会教大家如何用最小的代价配置 2 款主流且声誉较好的 EDR 产品。 尽管如此，即便你们编写的载荷能完美绕过这 2 款 EDR，也不代表能绕过客户或者自己企业里的安全产品，因为尤其是对于中大型企业，他们会订阅更加高级的套餐，使得他们 EDR 的特性与性能更为强大，以及会与其他安...

因为该课程是 2 年多前以前编写的，有些内容现在看会稍显过时，并且那时候能力也不比现在。话虽如此，因为高度体系化，我还是有信心比很多同类课程的教材更全面和通透的。 此外不接受批评和建议，不是因为我自大或者玻璃心，而是因为我不会再对其进行更新，维护，纠错了。 教材是有配置靶场的，但目前只能作为教材和操作手册，读者还实操不了。不过我用immersive labs(无需硬件，一人独享靶场)复刻了这个靶场，之后可以考虑出售靶场访问。