taibeihacker
Moderator
小型AV/EDR逃避实验室用于培训学习目的。 (️正在建设中.)
________ _____ _____ ____ ____ _____ _____ _
| __)___ ___ | | ____ | _ \ | _ \/_ \/_ \/_ | | _ _ | | __ ___
| _ \/_ \/__ | __ | | _ | | | | | | | | | | | | '_ \/_ \
| | _)| __/\ __ \ | __ | | ___ | | _ | | _ | | _ | | _ | | | | | | | | | | | | | | | | | |
| ____/_ \ ___ || ___/\ __ | | _______/| __ | \ _ \ \ ____/| _ | | _ | | _ | | _ | | _ | \ ____ |
| \/| __ _ _ __ | | _____ | |
| | \/| |/_` | '__ | |//_ \ __ |
| | | | (_ | | | | | __/| _ yazidou -github.com/xacone
| _ | | _ | \ __,_ || | _ | \ _ \ ___ | \ ___ | \ __ |
Festrofthemarket是一个幼稚的用户模式EDR(端点检测和响应)项目,旨在用作测试地面,用于理解和绕过这些安全解决方案经常使用的EDR的用户模式检测方法。
这些技术主要基于对目标过程状态(内存,API调用等)的动态分析,
请随时查看我写的这篇简短的文章,以描述EDR实施的干扰和分析方法。
Defensive Techniques
多级API钩钩SSN挂钩/压碎IAT钩壳壳壳注入检测反射模块加载检测呼叫堆栈监控:HEAP监视ROP缓解AMSI修补缓解ETW修补缓解措施
Usage
用法: festrofthemarket.exe [args]/帮助显示此帮助消息并退出
/v冗长
/IAT钩
/堆栈线程调用堆栈监视
/nt内联NT级挂钩
/k32 inline kernel32/kernelbase挂钩
/SSN SSN粉碎festrefthemarket.exe /stack /v /k32
festrofthemarket.exe /stack /nt
festrofthemarket.exe /iat