创新性安全工具：RealBlindingEDR - 安全防护的克星与研究利器

创新性安全工具：RealBlindingEDR - 安全防护的克星与研究利器

RealBlindingEDRRemove AV/EDR Kernel ObRegisterCallbacks、CmRegisterCallback、MiniFilter Callback、PsSetCreateProcessNotifyRoutine Callback、PsSetCreateThreadNotifyRoutine Callback、PsSetLoadImageNotifyRoutine Callback...项目地址:https://gitcode.com/gh_mirrors/re/RealBlindingEDR

项目介绍

RealBlindingEDR 是一个巧妙利用任意地址读写技术的开源项目，它通过签署驱动程序来实现对反病毒软件和端点检测响应系统（EDR）的有效规避。该项目由一篇深入的技术分析文章作为理论支持，为技术爱好者和安全研究人员提供了一种全新的视角来理解和应对安全监控。

目前，RealBlindingEDR 支持包括 360 安全卫士、天擎V10、腾讯电脑管家、Tinder 系列、卡巴斯基企业版、亚信 EDR 以及 Windows Defender 在内的多种防软产品的“失明”或永久关闭操作，并已测试在 64 位 Windows 7 至 11 及 Windows Server 多个版本上运行良好。

项目技术分析

RealBlindingEDR 主要实现了清除以下六种内核回调：

1. 删除 CmRegisterCallback(Ex) 注册的回调
2. 删除 MiniFilter 驱动注册的回调
3. 删除 ObRegisterCallbacks() 注册的回调
4. 删除 PsSetCreateProcessNotifyRoutine(Ex) 注册的回调
5. 删除 PsSetCreateThreadNotifyRoutine(Ex) 注册的回调
6. 删除 PsSetLoadImageNotifyRoutine(Ex) 注册的回调

这些回调的清理使得 RealBlindingEDR 能够达到如下效果：

1. AV/EDR 完全致盲：不中断 AV/EDR 的运行，但使其无法监测任何进程/线程活动、文件落地、注册表删除等敏感行为。
2. 永久关闭 AV/EDR：通过修改注册表或直接删除 AV/EDR 文件，使其即使在系统重启后也无法恢复。
3. AV/EDR 过程终止：移除对象句柄通知回调，普通管理员权限即可终止 AV/EDR 进程。

应用场景

RealBlindingEDR 在多个领域有潜在的应用价值：

1. 网络安全研究：研究人员可以借此了解 AV/EDR 的工作原理，探索对抗策略。
2. 软件开发：对于编写需要避开安全监控的软件，开发者可以借鉴其原理进行优化。
3. 教育与培训：教学网络安全课程时，用于展示防御机制的绕过方法。

项目特点

1. 兼容性强：广泛支持多款主流 AV/EDR 和 Windows 操作系统版本。
2. 动态适配：支持灵活更换驱动以适应不同环境，且可针对特定产品实现定制化盲化。
3. 无损操作：不直接杀死 AV/EDR 进程，避免引发主控断开，增加隐蔽性。
4. 易用性高：简单的命令行操作即可完成 AV/EDR 的致盲或永久关闭。

使用警告

请注意，此项目仅为研究与学习用途，禁止恶意使用。若出现滥用情况，开发者不承担任何责任。为了防止被 EDR 标记，可以尝试更改驱动文件哈希值而不影响签名。

未来，项目计划增加更多功能，例如清理 Windows ETW 事件提供者相关句柄、尝试移除 WFP 相关回调等。

在你继续深入了解 RealBlindingEDR 并探索其可能性之前，请确保你的行为符合法律和道德规范。安全研究应始终以保护和增强网络安全为目标。

RealBlindingEDRRemove AV/EDR Kernel ObRegisterCallbacks、CmRegisterCallback、MiniFilter Callback、PsSetCreateProcessNotifyRoutine Callback、PsSetCreateThreadNotifyRoutine Callback、PsSetLoadImageNotifyRoutine Callback...项目地址:https://gitcode.com/gh_mirrors/re/RealBlindingEDR