EDR BYPASS

已于 2024-09-22 19:25:30 修改
阅读量448 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 安全研发 文章标签: 安全
于 2022-03-09 22:23:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/SHELLCODE_8BIT/article/details/123389232

1.挂exec而不挂fork,可以通过fork fork fork ,这样会有时候拿不到数据维度造成绕过

从检测思路上思考

首先我们拦截一个exe执行,既恶意程序执行,恶意命令执行,那么存在下列几种拦截情况

1.获得exe路径,拦截,简单粗暴,但是存在绕过

2.获得exe md5拦截,鉴于上述情况,一种更好的方案

3.获得exe执行参数拦截,有可能该程序某个参数会发生恶意行为,则给予参数拦截

那么同样绕过思路就是

1.exe路径修改

2.exe md5修改,自己修改资源,重新上传一个类似功能的文件即可

3.将参数换成同样程序可以执行的参数,既等价替换

https://cloud.tencent.com/developer/article/1794090

Apache Flink (最新版本) 远程代码执行
「我唯一会的和擅长的只有网络安全,如果我不能在我最擅长的事情上取得成功,那么我根本不知道,我的人生还有什么意义。」
05-04 986
路虽远,行则将至;事虽难,做则必成
浅谈AV/EDR Bypass之道-Go分离免杀
「我唯一会的和擅长的只有网络安全,如果我不能在我最擅长的事情上取得成功,那么我根本不知道,我的人生还有什么意义。」
06-13 404
浅谈AV/EDR Bypass之道-Go分离免杀
探索网络安全新边界:Awesome EDR Bypass
gitblog_00027的博客
06-25 430
探索网络安全新边界:Awesome EDR Bypass 去发现同类优质开源项目:https://gitcode.com/ 在这个数字化的时代,Endpoint Detection and Response(EDR)已经成为企业安全防护的关键一环。然而,正所谓"道高一尺,魔高一丈",了解如何绕过EDR的技巧对于合法的安全研究人员和红队成员同样至关重要。【Awesome EDR ...
.net 宏定义_绕过EDR:构造Office宏欺骗父进程和命令行参数
weixin_39751453的博客
11-24 376
一、背景大多数现代EDR解决方案都使用行为检测的方式,允许根据其行为来检测恶意软件,而不是仅仅使用IoC(例如:文件哈希值、域名)。在这篇文章中,我给出了欺骗新进程的父进程和命令行参数这两种技术的VBA实现方法。此类实现允许制作更加隐蔽的Office宏,并使宏生成的进程看起来像是由另一个程序(例如explorer.exe)创建的,并具有看上去良性的命令行参数。需要说明的是,我并非提出这...
EDT技术 ug - 第一章节 Getting Start
热门推荐
ciscomonkey的博客
05-16 1万+
文章目录 本系列介绍的是Tessent的EDT(Embedded Deterministic Testing)技术。 参考为EDT tessent的 TestCompress 文档。 本系列是对ug的个人理解和知识要点笔记,并非完全翻译。 EDT作为一种测试技术,在Tessent TestKompress 工具中使用,注意EDT不是工具,而是一种测试手段。 EDT形成的internal scan chain 对于tester来讲,就好像看到的是external chain一样。 如下图所示,对于tester
AV/EDR 免杀逃避技术汇总
jentle8的博客
09-08 3504
EDR AV 逃避和免杀方案汇总
浅谈AV/EDR Bypass之道-Go图片免杀
「我唯一会的和擅长的只有网络安全,如果我不能在我最擅长的事情上取得成功,那么我根本不知道,我的人生还有什么意义。」
06-14 551
天地虽宽 这条路却难走 我看遍这人间坎坷辛苦 要苍天知道 我不认输
浅谈AV&EDR Bypass之道-C免杀上线C2
「我唯一会的和擅长的只有网络安全,如果我不能在我最擅长的事情上取得成功,那么我根本不知道,我的人生还有什么意义。」
08-06 535
别担心现实总比梦想遥远,别计较收成不如付出丰盈。你对待当下的态度,会决定你未来的高度
AV_EDR 绕过红队村 PT-BR.pdf
10-06
【网络安全渗透测试】中的【AV/EDR Bypass 技术】详解 在网络安全领域,保护系统免受恶意攻击是至关重要的。其中,【Endpoint Detection and Response (EDR)】和【Antivirus (AV)】是两种常见的防护手段。本文将...
Golang 加密软件
usdnfo的专栏
11-07 569
Golang 加密软件
golang数据加解密
涛的博客
06-12 690
package ystEncrypt import ( "bytes" "crypto/aes" "crypto/cipher" "encoding/base64" "errors" "strings" ) type aesEncrypt struct { Key string // IvDefValue string //ivDefValue } /** aesEncrypt初始化 */ func NewAesEncrypt(Key string, IvDefValue
go文件服务器加密,golang数据传输加密解密
weixin_35679869的博客
08-06 899
package middlewaresimport ("bytes""encoding/base64""encoding/json""io/ioutil""math/rand""net/http""public/encrypt""github.com/gin-gonic/gin")type EncryptParam struct {Key string `json:"key" ...
Bypass-BT
angel的博客
04-10 1万+
前两天,遇到一个站点,是宝塔过滤,就像搭建一个BT本地环境测试一下, 问了同事,他说,付费版的BT才有这些过滤,这里就本地搭建一下吧,不过不是付费版的。。 安装BT 备注一下子:先安装免费版的: Centos安装命令 yum install -y wget && wget -O install.sh http://download.bt.cn/i...
深信服EDR任意用户登录0day检测
weixin_39811856的博客
08-20 943
import sys import requests import argparse def check_bypass(url): if '://' not in url: target = 'https://%s' % url if ':443' in url else 'https://%s' % url else: target = url target=target+r"/ui/login.php?user=admin" resp.
EDR研究心得体会
ailx10
03-11 253
花了4周时间分析了EDR,现在来写写心得体会首先分析了友商的EDR管理平台,2个都是视频的,由于其中一个视频只有服务器的介绍,所以我先分析另一个视频,输出了友商A的整个EDR管理平台和Agent的页面功能模块~之后从新搭建了那个视频不完整的EDR,我滴龟龟,服务器安装包就有7个G内存,Agent释放出来的包也有6个G,反正一个字,就是大,之后输出了友商B的整个EDR管理平台和Agent的页面功能模...
如何从Kubernetes集群中安全移除节点
xcbeyond|疯狂源自梦想,技术成就辉煌
07-23 936
从 API Server 中移除节点对象,kube-controller-manager 停止监控该节点。通过遵循本指南,您将能够高效安全地管理Kubernetes节点生命周期,确保集群稳定运行。在 Kubernetes 集群的生命周期中,节点维护是不可避免的操作。本指南将详细介绍安全移除节点的全流程,确保操作平滑无感知。的标准流程,配合完善的预检和验证,可确保服务零中断。,阻止新Pod调度到该节点,但现有Pod继续运行。
点击劫持:潜藏在指尖的安全陷阱
最新发布
fys15925190510的博客
07-27 629
随后,通过代码将这些恶意元素设置为全透明状态,并精准覆盖在用户可能点击的正常按钮上,如 “关闭广告”“查看详情” 等。在网页端,攻击者可能搭建一个看似正常的视频网站,当用户点击 “播放” 按钮时,透明的恶意元素会引导用户点击 “确认下载某软件”,而该软件实则为病毒或挖矿程序。例如,当用户在某款工具类 APP 中点击 “领取优惠券” 时,实际触发的是 “允许该应用发送付费短信” 的授权弹窗,导致手机被强制扣除话费。例如,点击后弹出带有随机验证码的确认框,或要求用户拖动滑块完成验证,确保操作是用户的真实意图。
安全漏洞】网络守门员:深入理解与应用iptables,守护Linux服务器安全
07-26 986
Linux中iptables的深入理解与应用
飞行控制领军者 | 边界智控携高安全级飞控系统亮相2025深圳eVTOL展
Spey_Events的博客
07-25 725
目前,边界智控在团队、产品、技术、业务及融资等各方面均实现了业内领先。2025 深圳eVTOL展的举办,为全球eVTOL产业链搭建了高规格、国际化的交流合作平台,全面多维地彰显了参展企业的卓越实力与行业引领地位,更为推动 eVTOL产业向高质量、规范化、规模化方向发展提供了有力支撑,对引领低空经济未来发展具有重要意义。作为eVTOL飞行控制领域的核心赋能者,边界科技将借此国际平台,全面展示其在核心技术领域的最新突破,与全球业界同仁深入交流前沿理念,共同探讨飞控系统对于推动eVTOL产业发展的核心驱动作用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

信安成长日记

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值