开源项目 Probatorum-EDR-Userland-Hook-Checker 指南及问题解决

开源项目 Probatorum-EDR-Userland-Hook-Checker 指南及问题解决

Probatorum-EDR-Userland-Hook-Checker Project to check which Nt/Zw functions your local EDR is hooking 项目地址: https://gitcode.com/gh_mirrors/pr/Probatorum-EDR-Userland-Hook-Checker

项目基础介绍

项目名称: Probatorum-EDR-Userland-Hook-Checker
主要编程语言: C/C++
本项目由优快云公司开发的InsCode AI大模型解析得知，是由asaurusrex创建的一个开源工具，用于检测本地Endpoint Detection & Response（EDR）软件所挂钩的Nt/Zw函数。它对于安全研究人员、红队和蓝队成员尤为重要，旨在辅助理解并审计系统中的安全防护机制。代码基于SolomonSklash的安全博客灵感编写，并通过Visual Studio 2019构建，支持64位Windows环境。

新手使用注意事项与解决步骤

注意事项 1：正确编译或运行预编译二进制文件

• 问题: 新手可能会遇到编译错误或不知道如何运行程序。
• 解决步骤:
  1. 下载项目: 克隆仓库到本地。
  2. 编译: 若选择自己编译，确保安装了Visual Studio 2019。打开.sln文件，选择正确的配置(通常是x64, Release)，然后编译解决方案。
  3. 运行: 编译后，找到Release目录下的Probatorum_Hook_Checker.exe执行文件。或者，直接使用项目提供的预编译版本。

注意事项 2：合法合规使用

• 问题: 不清楚项目的使用界限。
• 解决步骤:
  • 阅读项目提供的README.md文档，明确指出仅限于合法的红队测试、渗透测试或研究目的。
  • 确保活动遵守所有适用法律及道德规范，避免非法用途。

注意事项 3：理解和处理“假阳性”结果

• 问题: 用户可能误解某些被标记的函数为被真正钩取，而实际上它们可能是系统内部的重定向。
• 解决步骤:
  • 对于报出被“钩取”的函数，特别是Windows 10上提到的特定函数（如ZwQuerySystemTime等），可以通过WinDbg或其他调试工具进一步验证，以确认是真正的hook还是系统内部的行为。
  • 查阅文档和相关社区讨论，了解哪些行为属于正常系统内部操作，以避免误判。

以上指南和解决步骤为初学者提供了清晰的路线图，帮助他们在遵循最佳实践的同时，有效地利用此开源工具进行系统安全分析。

Probatorum-EDR-Userland-Hook-Checker Project to check which Nt/Zw functions your local EDR is hooking 项目地址: https://gitcode.com/gh_mirrors/pr/Probatorum-EDR-Userland-Hook-Checker