防病毒和 EDR 绕过技术,总结到目前EDR绕过方法详细攻略

最新推荐文章于 2025-10-20 11:05:48 发布
原创 最新推荐文章于 2025-10-20 11:05:48 发布 · 2.6k 阅读 · 29 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #安全 

   防病毒、反恶意软件和EDR是预防攻击的常用工具。但它们可以被绕过,本文探讨了在加载程序中实现的各种绕过技术。加载程序是一种通过绕过保护措施执行恶意负载的程序。文章将展示这些技术如何帮助渗透测试团队,并介绍各种可能的安全措施及其绕过技术

在这里插入图片描述
在我们的审计过程中,特别是在进行基础设施和网络渗透测试时,我们的安全专家可能需要在安装了防病毒软件的环境中运行特定的评估工具。这些工具,如用于评估Active Directory安全性的Rubeus和SharpHound等,由于其功能与实际网络攻击中可能使用的工具相似,通常会被现有的安全解决方案逻辑性地阻止运行。然而,为了确保能够准确地进行入侵测试并发现潜在的安全漏洞,这些工具的使用是不可或缺的。因此,找到一种方法来绕过现有的保护措施,以便在这些受保护的环境中运行这些关键工具,就显得尤为重要。此时,加载程序(Loader)的应用就显得尤为关键。加载程序能够获取到防病毒软件所检测到的计算机程序,并通过某种方式将其转换为未被防病毒软件检测到的形式。这样,我们就可以在不触发安全警报的情况下,顺利地在这些环境中运行所需的评估工具,从而确保我们的渗透测试工作能够顺利进行。
1防病毒/EDR 如何工作
在创建加载器之前,必须明确计算机程序被安全解决方案分类为恶意或非恶意的原因。防病毒/EDR软件提供了多种工具用于对计算机程序进行分类。
签名数据库
任何计算机程序都可以通过哈希函数(例如SHA-256)生成唯一的签名。基于签名的分析涉及存储已知属于恶意程序的所有签名的列表,并将每个新签名与该列表进行比较。尽管这种方法很有趣,但它并不足以保证防病毒软件的有效性。实际上,这种方法相对容易被绕过。程序中的任何细微变化(无论多小)都会完全改变其签名。此外,这种安全方法无法防御尚未列出的新威胁。
例如,Github 上 Mimikatz 2.2.0 版本对应的 SHA256 哈希为:
在这里插入图片描述
静态分析
静态分析包括在程序中搜索已知属于恶意程序的一个或多个字符串。例如,Matt Hand 的DefenderCheck工具可用于确定 Windows Defender 检测到给定可执行文件中的哪些字符串。下面是使用 Mimikatz 程序的示例:
在这里插入图片描述
使用 Windows Defender静态分析检测 Mimikatz。我们可以看到,Defender 根据包含“mimikatz”一词的字符串将该程序认定为恶意软件。我们也可以使用 YARA 规则来观察这种现象。例如,我们使用 YARA 规则来检测“Portable Executable”可执行文件中是否存在以下字符串:
## / \ ## /*** Benjamin DELPY gentilkiwi ( benjamin@gentilkiwi.com )
我们可以看到,当我们对“mimikatz.exe”使用 YARA 规则时会触发“Windows_Hacktool_Mimikatz_1388212a”警报,而“notepad.exe”不会触发警报(因为后者不包含有问题的字符串):
在这里插入图片描述
如果我们运行“mimikatz.exe”程序,我们会看到该字符串确实存在:
在这里插入图片描述
Yara 规则已正确检测到字符串。因此很明显,可以通过对程序的静态分析来将其描述为威胁。
启发式和行为检测
启发式检测的目的是了解程序的工作原理并确定它将在系统上执行什么操作。这可以通过使用沙盒来实现:一个隔离的虚拟机,潜在危险的程序可以在其中运行。然后,防病毒软件可以检查程序在执行过程中采取的操作并寻找恶意操作的迹象。类似地,行为检测包括观察程序在执行期间执行的操作,以发现任何可疑活动。例如,按特定顺序对 Windows API 进行的某些调用被认为是典型的恶意软件模式。
导入地址表 (IAT) 检查
在编写计算机程序时,开发人员可以调用库。在 Windows 系统上,这是通过 DLL(动态链接库)实现的。DLL 是一个导出现成函数的程序。然后,开发人员可以选择将某些 DLL 加载到他们的程序中,以利用它们导出的函数。一定数量的 DLL(例如“user32.dll”或“kernel32.dll”)是所有 Windows 系统的标准配置,它们导出对开发人员有用的函数。这些函数由 Microsoft 记录并构成通常所熟知的 Windows API。例如,开发人员可以使用“user32.dll”DLL导出的“MessageBoxA”函数来显示对话框:
在这里插入图片描述
导入地址表是与每个可移植可执行文件(包含在 PE 的可选头的导入目录中)相关的表,其中包含程序使用的已加载 DLL 及其导出函数的列表。下面的示例显示了“notepad.exe”程序的导入地址表的启动:
在这里插入图片描述
Notepad.exe IAT 内容的开始。大多数防病毒软件都会观察该表,某些功能的存在会触发警报。例如,如果“OpenProcess”、“VirtualAllocEx”、“WriteProcessMemory”和“CreateRemoteThreadEx”(均由“kernel32.dll”导出)函数同时存在于同一个程序中,则会引起高度怀疑。这 4 个函数一起使用可启用恶意程序经常使用的进程注入技术。
反恶意软件扫描接口 (AMSI)
AMSI(Microsoft Antimalware Scan Interface)是 Windows 操作系统提供的一个接口,它允许开发人员将防病毒保护集成到他们的程序中。具体来说,开发人员可以选择将“AMSI.dll”动态链接库加载到他们的程序中,并使用该 DLL 导出的函数。例如,“AmsiScanString”函数接受一

最低0.47元/天 解锁文章
EDR查杀原理曝光及免杀绕过
摔不死的笨鸟的博客
09-22 1572
为了保护系统的安全稳定性,从Windows 64位起,Windows机器有两种不同的运行模式:用户模式内核模式,用户模式即我们平时使用各种应用程序时所处的交互模式,应用可以访问CPU内存等资源,维持自身的正常运转。Meterpreter绕过了磁盘上基于签名的检测使用系统调用的Shellcode检测,但在运行不到一分钟后又被报毒,这是一个基于行为的检测,由额外的DLL文件触发,通过普通 Win32 API 反射 DLL 注入技术加载。从我目前的知识观点来看,对此问题的非常简单的回答是——不!
qt下调用win32 api实现屏幕绘图_EDR绕过方法:利用.NET动态调用绕过内联IAT Hook...
weixin_39604557的博客
12-05 477
一、概述本文展示了几种动态调用方法,可以利用这些方法绕过InlineIAT Hook。可以在这里找到概念证明:https://github.com/NVISO-BE/DInvisibleRegistry 。二、探索过程时至今日,红队的技术已经发生了明显变化,他们越来越多地使用C#编写工具,或者逐步从PowerShell转移到C#。由于AMSI(反恶意软件扫描接口)、脚本块日志记录等一些...
防御视角下的狩猎——终端检测与响应(EDR绕过技术实战深度解析
最新发布
2401_84466225的博客
10-20 1011
本文深入探讨了终端检测与响应(EDR)系统的攻防对抗技术。首先分析了EDR依赖的三大核心数据源:ETW日志、API调用监控内核回调机制。接着详细介绍三种主流绕过技术:直接系统调用可规避用户态钩子,解除ETW提供程序能切断EDR监控,模块幻影技术可伪装恶意内存操作。文章强调真正的安全需要分层防御,建议蓝队开启全面日志、主动威胁狩猎并保持EDR策略更新。最后指出EDR攻防是持续演化的过程,需在授权环境中进行技术实践与研究。
Pyramid:一款专为红队设计的EDR绕过工具
FreeBuf_的博客
12-19 593
base-tunnel-socks5:该脚本负责在一个新的线程中导入执行paramiko来创建一个SSH本地端口转发(至一个远程SSH服务器),接下来会在目标设备上执行一台本地Socks5代理服务器,该服务器可以通过SSH信道远程访问;base-tunnel-inj.py:该脚本负责在一个新的线程中导入执行paramiko来创建一个SSH本地端口转发(至一个远程SSH服务器),之后便能够在本地向python.exe中注入Shellcode;base-DonPAPI.py:该脚本负责在内存中导入执行。
实战企业级EDR绕过:基于Caldera+ElasticEDR的对抗模拟靶场
「威胁棱镜」—— 以攻击者视角构建企业级防御体系 本博客聚焦高级威胁对抗(APT) 与 实战化防御工程 领域,致力于解构攻击技术本质,探索可落地的自动化防护方案。作者深耕ATT&CK框架应用、云原生安全架构、终端检测响应(EDR)深度防御。
06-10 746
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档。
EDR下的线程安全
记录学习,一起进步
03-25 1208
EDR下的线程安全
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 4140
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
深信服edr终端检测响应平台(_3.2.21)代码审计挖掘(权限绕过)1
08-03
本文将对平台的代码结构、权限绕过漏洞等进行详细的分析解释。 一、代码结构分析 深信服EDR终端检测响应平台的代码结构主要分为以下几个部分: 1. CASCADE:该目录下包含了平台的核心组件,包括数据库交互、...
AV_EDR 绕过红队村 PT-BR.pdf
10-06
渗透测试者需要对这些技术有深入的理解,以便在测试中安全、有效地绕过AV/EDR,同时遵守道德准则,不造成实际损害。这不仅要求技术上的熟练,还需要对网络安全法规最佳实践的全面了解。 总之,EDRAV是现代网络...
关于欺骗技术EDR的4件事_郑伟.pdf
02-03
攻击者能够绕过传统的防御措施,如反病毒软件,使得预防、检测响应成为防御策略的核心。端点是攻击者的主要目标,因此在这些位置实施强大的安全措施至关重要。 EDR不仅仅是单一的产品或工具集,它包含了监控、...
绕过EDR实现添加用户
xiangshen1990的博客
03-23 1545
绕过EDR实现添加用户写在前面绕过思路代码实现Powershell代码实现C++代码实现写在最后 写在前面 复工的一周,是忙碌的一周,一直到周日晚上还有工作没做完;本来打算这篇blog写通过驱动技术实现对抗卡巴斯基,哎,精力有限,先写篇简单点的内容。这篇内容的诞生,是因为上周正好有小朋友问我关于他绕过HR的保护添加了用户,于是乎我就深入测试了一下一些绕过思路,成功绕过了数字、HR等EDR产品,这里...
内存防御绕过检测:EDR钩子与无文件注入的对抗分析实录.pdf
06-24
文档支持目录章节跳转同时还支持阅读器左侧大纲显示章节快速定位,文档内容完整、条理清晰。文档内所有文字、图表、函数、目录等元素均显示正常,无任何异常情况,敬请您放心查阅与使用。文档仅供学习参考,请勿用作商业用途。 从隐写术到编码转换,从音频隐写到文件结构分析,CTF-Misc 教会你用技术的眼睛发现数据中的「彩蛋」。掌握 Stegsolve、CyberChef、Audacity 等工具,合法破解摩斯密码、二维码、LSB 隐写,在虚拟战场中提升网络安全意识与技术能力。记住:所有技术仅用于学习与竞赛!
深信服勒索病毒专杀工具EDR.zip
10-12
一直在更新维护的勒索病毒专杀工具,比其他加的好用多了. 病毒库还有更新的
linux-2.4.21-51Board_EDR.tar.gz
12-24
linux-2.4.21-51Board_EDR eeliod实验开发板所用2.4内核linux系统源代码
红队视角:理解EDR绕过原理以强化企业防御
m0_71322636的博客
07-25 784
企业级终端检测与响应系统是现代安全体系的核心。红队演练的核心目标之一,就是测试EDR的有效性,发现其盲点,从而。本文将从红队视角常见的EDR规避思路,目的是提升蓝队对潜在威胁的认知检测能力。
免杀!绕过EDR隐秘执行shellcode
潇湘信安的博客
06-22 617
Freeze.rs 是一个有效载荷创建工具,用于绕过 EDR 安全控制以隐秘方式执行 shellcode。Freeze.rs 利用多种技术,不仅可以删除 Userland EDR 挂钩,还可以以绕过其他端点监控控件的方式执行 shellcode。
终端安全响应系统(EDR)与传统防病毒软件有何不同?
qq_51301115的博客
10-15 1664
终端安全响应系统(EDR)是传统终端安全产品在高级威胁检测响应方面的扩展补充,通过威胁情报、攻防对抗、机器学习等方式,从主机、网络、用户、文件等维度来评估企业网络中存在的未知风险,以行为软件为核心,利用威胁情报,缩短威胁从发现到处置的时间,有效降低业务损失,增加可见性,提升整体安全能力。几十年来,企业一直渴望有一套防病毒套件,以期一举解决企业安全方面的挑战。但是,随着恶意软件威胁的复杂性攻击范围的扩大,传统防病毒软件的缺点变得非常明显。为此,一些供应商重新思考了企业所面临的安全挑战。
技术深度剖析:反作弊绕过EDR 绕过的比较
博客地址 www.sec0nd.top
10-20 1655
在不断发展的数字安全领域,出现了两个突出的挑战,它们对在线系统用户数据的完整性构成了重大威胁:反作弊绕过 EDR 绕过。这两个概念分别围绕绕过旨在确保在线游戏领域公平竞争保护计算机系统免受恶意软件侵害的保护措施。这篇文章将深入探讨反作弊绕过 EDR 绕过的目标,探索这些活动背后的动机及其影响,并区分合法的安全研究非法活动。
趋势科技推EDR功能端点防护提供整合型的解决方案
weixin_33695450的博客
02-26 1163
趋势科技去年底推出了涵盖EDR功能的端点防护解决方案Apex One,供企业能调查端点计算机上***事件的样貌,管理者可透过云端控制台,得知整体威胁态势与需要优先调查的事件。自2年多前起,资安业者争相推出端点侦测与反制系统(EDR),许多厂商开始将这种事件因应系统与端点防护结合,提供整合型的解决方案。去年12月,趋势科技也顺应这样的潮流,推出OfficeScan XG的下一代产品──Apex On...
ScareCrow: 以Golang开发的绕过EDR的有效载荷创建框架
绕过EDR技术意味着能够在一定程度上规避安全产品的检测。在深入分析ScareCrow的技术细节之前,我们需要理解几个关键概念。 #### 关键概念解析 - **EDR (Endpoint Detection and Response)**:EDR是一种安全解决...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值