RealBlindingEDR 项目推荐
项目地址: https://gitcode.com/gh_mirrors/re/RealBlindingEDR 项目基础介绍和主要编程语言
RealBlindingEDR 是一个开源项目,旨在通过移除内核回调来实现对防病毒软件(AV)和端点检测与响应(EDR)系统的致盲或永久关闭。该项目主要使用 C++ 和 C 语言进行开发,充分利用了内核编程技术来实现其功能。
项目核心功能
RealBlindingEDR 的核心功能包括:
-
移除内核回调:项目实现了对以下内核回调的清除:
- CmRegisterCallback(Ex) 注册的回调
- MiniFilter 驱动注册的回调
- ObRegisterCallbacks() 注册的回调
- PsSetCreateProcessNotifyRoutine(Ex) 注册的回调
- PsSetCreateThreadNotifyRoutine(Ex) 注册的回调
- PsSetLoadImageNotifyRoutine(Ex) 注册的回调
-
致盲 AV/EDR:通过移除内核回调,使得 AV/EDR 无法监控进程、线程活动、文件落地、注册表删除、高权限句柄获取等敏感行为,同时保持 AV/EDR 进程正常运行。
-
永久关闭 AV/EDR:通过修改注册表或直接删除 AV/EDR 文件,实现对 AV/EDR 的永久关闭,即使系统重启也不会恢复。
-
终止 AV/EDR 进程:移除对象句柄通知回调后,可以使用普通管理员权限终止 AV/EDR 进程。
项目最近更新的功能
最近更新的功能包括:
-
支持更多 AV/EDR 产品:项目现在支持致盲或永久关闭以下 AV/EDR 产品:
- 360 安全卫士
- 360 企业版
- 天擎 V10
- 腾讯电脑管家
- 火绒/火绒企业版
- 卡巴斯基端点安全
- 亚信 EDR
- Windows Defender
- 安天智甲
-
支持更多操作系统版本:项目在 64 位 Windows 7/10/11 和 Windows Server 2008R2/2012R2/2016/2019/2022 上进行了测试,并根据用户反馈进行了适配。
-
驱动应用支持:项目现在支持四种驱动应用,分别对应不同的操作系统版本,用户可以根据需要选择合适的驱动应用来实现致盲或永久关闭 AV/EDR。
通过这些更新,RealBlindingEDR 项目进一步增强了其功能和适用性,为用户提供了更强大的工具来研究和学习 AV/EDR 系统的内核机制。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
