RedEdr:实时监测恶意软件活动
RedEdr Collect Windows telemetry for Maldev 
项目地址: https://gitcode.com/gh_mirrors/re/RedEdr
在网络安全领域,监控和分析恶意软件行为是至关重要的。RedEdr 是一个开源项目,它能够实时显示 Windows 系统中的事件,帮助安全研究者看到恶意软件的检测面。本文将深入探讨 RedEdr 的核心功能、技术分析、应用场景和特点。
项目介绍
RedEdr 能够捕获与恶意软件活动相关的系统事件,并生成与终端检测和响应(EDR)工具相同的数据。它的主要目的是帮助安全研究人员:
- 发现恶意软件生成的遥测数据。
- 验证对抗 EDR 技术的有效性。
- 调试和分析恶意软件。
通过观察单一进程并识别恶意模式,RedEdr 与传统的 EDR 工具不同,后者通常观察所有进程并识别恶意进程。
项目技术分析
RedEdr 利用了多种技术来捕获和分析系统事件。以下是它的核心技术组件:
- ETW(事件跟踪窗口):捕获包括进程创建、线程创建和模块加载在内的系统事件。
- 内核回调:包括进程创建、线程创建和图像加载通知的回调。
- ntdll.dll 钩子:通过用户空间和内核空间的钩子捕获 API 调用。
- AMSİ 风格的 ntdll.dll 钩子:在用户空间执行,但不完全可靠。
- 调用栈捕获:在 ntdll.dll 钩子调用和某些 ETW 事件发生时捕获。
RedEdr 生成的数据以 JSON 文件格式存储,便于分析和处理。
项目技术应用场景
RedEdr 在以下场景中特别有用:
- 安全研究:安全研究人员可以使用 RedEdr 来分析和理解恶意软件的行为,从而开发更有效的防御策略。
- 红队训练:红队成员可以使用 RedEdr 来测试他们的攻击技巧和逃避 EDR 检测的技术。
- EDR 产品测试:EDR 产品开发者可以使用 RedEdr 来验证其产品的检测能力。
项目特点
RedEdr 具有以下显著特点:
- 高度定制:用户可以指定要跟踪的进程名称,以及启用或禁用不同的数据消费者。
- 灵活的输出格式:数据以 JSON 格式存储,便于与其他工具和平台集成。
- 交互式Web界面:通过内置的 Web 服务器,用户可以实时查看事件数据。
- 多种数据源:支持 ETW、内核回调、ntdll.dll 钩子等多种数据源。
使用 RedEdr
RedEdr 的安装和使用相对简单,但需要一些特定的系统配置。以下是一些基本步骤:
- 在专用的虚拟机上安装 RedEdr。
- 修改 Windows 引导选项以启用自签名内核驱动程序。
- 将 RedEdr 的发布文件解压到
C:\RedEdr目录。 - 以本地管理员身份启动终端,并运行 RedEdr。
例如,要追踪特定进程(如 notepad.exe),可以使用以下命令:
.\RedEdr.exe --all --trace notepad.exe
这将追踪所有与 notepad.exe 相关的事件,并通过内置的 Web 服务器在 http://localhost:8080 上提供实时数据。
总结
RedEdr 是一个强大的工具,可以帮助安全研究人员和 EDR 开发者更好地理解和监控恶意软件行为。通过其高度定制的数据捕获和分析能力,RedEdr 为网络安全领域提供了一个宝贵的开源解决方案。无论您是安全研究员还是 EDR 产品开发者,RedEdr 都值得您尝试和探索。
RedEdr Collect Windows telemetry for Maldev 项目地址: https://gitcode.com/gh_mirrors/re/RedEdr
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
扫一扫
8333
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
