EDR BYPASS

1.挂exec而不挂fork,可以通过fork fork fork ,这样会有时候拿不到数据维度造成绕过

从检测思路上思考

首先我们拦截一个exe执行,既恶意程序执行,恶意命令执行,那么存在下列几种拦截情况

1.获得exe路径,拦截,简单粗暴,但是存在绕过

2.获得exe md5拦截,鉴于上述情况,一种更好的方案

3.获得exe执行参数拦截,有可能该程序某个参数会发生恶意行为,则给予参数拦截

那么同样绕过思路就是

1.exe路径修改

2.exe md5修改,自己修改资源,重新上传一个类似功能的文件即可

3.将参数换成同样程序可以执行的参数,既等价替换

https://cloud.tencent.com/developer/article/1794090

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

信安成长日记

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值