taibeihacker
Moderator
BadexClusionsNWBO是从BadexClusions的演变,可以在AV/EDR上识别文件夹自定义或无证件排除。
hook_checker.exe返回EDR钩子的数量。如果挂钩的数量为7或以下,则含义文件夹具有排除,否则不会排除文件夹。
如果您下载portotorum-edr-userland-hook-checker,并且在带有特定类型的排除类型的常规文件夹和文件夹中运行它,您会发现巨大的差异。所有信息均在认证设备存储库上。
运行badexclusionsnwbo的用户需要在排除的文件夹上写入权限,以便编写hook_checker文件并获取结果。
How it works?
badexclusionsnwbo副本并在给定路径的所有文件夹和子文件夹中运行hook_checker.exe。您需要在badexclusionsnwbo.exe的同一文件夹上使用hook_checker.exe。hook_checker.exe返回EDR钩子的数量。如果挂钩的数量为7或以下,则含义文件夹具有排除,否则不会排除文件夹。
Original idea?
自Badexclusions发布以来,我一直在考虑如何在不产生那么多噪声的情况下实现相同的结果。该解决方案来自另一个工具https://github.com/asaurusrex/probatorum-edr-userland-hook-checker。如果您下载portotorum-edr-userland-hook-checker,并且在带有特定类型的排除类型的常规文件夹和文件夹中运行它,您会发现巨大的差异。所有信息均在认证设备存储库上。
Requirements
每个供应商以不同的方式应用排除。为了获取文件夹的列表,应制定特定类型的排除类型。并非所有类型的排除类型,也不是所有供应商在排除文件夹时删除钩子。运行badexclusionsnwbo的用户需要在排除的文件夹上写入权限,以便编写hook_checker文件并获取结果。