EDRSilencer 使用指南

EDRSilencer 使用指南

EDRSilencer项目地址:https://gitcode.com/gh_mirrors/ed/EDRSilencer

1. 项目目录结构及介绍

EDRSilencer 是一个利用Windows Filtering Platform (WFP)来阻止运行中的Endpoint Detection and Response (EDR)代理报告安全事件到服务器的工具。下面是此项目的典型目录布局及其简介：

EDRSilencer/
├── EDRSilencer.c             # 主要源代码文件，实现EDR流量阻断功能。
├── utils.c                   # 辅助功能的源代码文件，可能包括一些通用函数。
├── utils.h                   # 与utils.c对应的头文件，定义函数接口。
├── EDRSilencer.exe           # 编译后的可执行文件，用于操作EDR的网络通信。
├── LICENSE                   # 项目的MIT许可协议文件。
├── README.md                 # 项目的主要说明文档，包含了安装、使用等信息。
└── example.png               # 可能是示例图像，展示工具使用或效果。

2. 项目的启动文件介绍

启动文件主要是 EDRSilencer.exe。这个可执行程序提供了命令行界面，以执行不同操作，包括但不限于：

• EDRSilencer.exe block: 添加Windows过滤平台（WFP）过滤器，以阻止所有检测到的EDR过程的IPv4和IPv6出站流量。
• EDRSilencer.exe blockedr: 特定于进程的操作，添加WFP过滤器，仅阻止指定全路径进程的出站流量，例如：EDRSilencer.exe block "C:\Windows\System32\curl.exe"。
• EDRSilencer.exe unblockall: 移除由该工具应用的所有WFP过滤器。
• EDRSilencer.exe unblock <filter id>: 根据过滤器ID移除特定的WFP过滤器。

使用前需确保已经正确编译了 EDRSilencer.c 文件，并生成了 EDRSilencer.exe。

3. 项目的配置文件介绍

该项目并没有明确的配置文件路径或格式。它主要通过命令行参数进行配置和控制。因此，“配置”主要是指在命令行上输入的不同命令和选项。用户通过直接调用 EDRSilencer.exe 并附加相应的命令和参数来进行定制化设置，无需编辑传统意义上的配置文件来改变其行为。

请注意，为了运行此工具并有效管理EDR的网络通讯，用户应当具备对系统网络层较深入的理解，并谨慎使用，以免影响系统的正常安全机制。此外，在实际部署之前，在测试环境中充分验证是非常重要的。

EDRSilencer项目地址:https://gitcode.com/gh_mirrors/ed/EDRSilencer