实现AV/EDR致盲技术的开源项目——RealBlindingEDR详解与新手指南
项目地址: https://gitcode.com/gh_mirrors/re/RealBlindingEDR 项目基础介绍
RealBlindingEDR 是一个由优快云社区关注的高级技术专家开发的开源项目,旨在通过深度内核操作来移除安全软件如防病毒软件(AV)和终端检测响应(EDR)产品的内核级回调函数。这些回调涉及诸如ObRegisterCallbacks, CmRegisterCallback, 等关键系统函数,进而实现对AV/EDR的“致盲”,即让其无法监视进程、线程、文件活动等敏感行为,同时保持AV/EDR服务运行以避免触发监控断开的报警。项目采用 C/C++ 主要编程语言,并遵循 MIT 开源许可协议。
新手使用注意事项及解决步骤
注意事项1:了解潜在风险
- 问题: 新手可能未意识到此工具可能违反某些安全政策,甚至触犯法律。
- 解决步骤:
- 在实验前彻底理解项目的功能和潜在后果。
- 仅在个人或测试环境中使用,不得用于非法目的或未经允许的系统上。
注意事项2:环境兼容性和依赖
- 问题: 可能在特定版本的Windows系统上遇到运行问题。
- 解决步骤:
- 确认您的操作系统是否在官方支持列表中,目前支持64位的Windows 7/10/11及Server多个版本。
- 检查系统是否有必要的开发环境,如Windows SDK,以便编译源码。
注意事项3:正确理解和使用代码
- 问题: 缺乏内核驱动编程经验可能导致误用或误解项目目的。
- 解决步骤:
- 阅读项目中的
README.md,特别是中文介绍部分,理解其工作原理。 - 若需深入学习,查找相关内核驱动开发教程,理解内核回调机制。
- 不轻易尝试在生产环境中部署,避免不必要的系统稳定性风险。
- 阅读项目中的
以上是针对RealBlindingEDR项目的新手指导,务必在合法合规的框架下探索和学习,确保技术和知识的应用符合伦理及法律规定。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
