济南网站建设系统介绍服务,苏州做网站哪家专业,山东建设执业资格注册中心网站官网,做传销网站违法的吗关于BestEdrOfTheMarket
BestEdrOfTheMarket是一个针对AV/EDR绕过的训练学习环境#xff0c;广大研究人员和信息安全爱好者可以使用该项目研究和学习跟AV和EDR绕过相关的技术知识。 支持绕过的防御技术 1、多层API钩子#xff1b; 2、SSH钩子#xff1b; 3、IAT钩子#x…关于BestEdrOfTheMarket
BestEdrOfTheMarket是一个针对AV/EDR绕过的训练学习环境广大研究人员和信息安全爱好者可以使用该项目研究和学习跟AV和EDR绕过相关的技术知识。 支持绕过的防御技术 1、多层API钩子 2、SSH钩子 3、IAT钩子 4、Shellcode注入检测 5、反射型模块加载检测 6、调用栈监控 工具下载
发布版本
广大研究人员可以直接访问该项目的【Releases页面】下载该工具的最新预编译版本。
源码下载
首先我们需要在本地设备上安装并配置好最新版本的Visual Studio工具。接下来使用下列命令将该项目源码克隆至本地
git clone https://github.com/Xacone/BestEdrOfTheMarket.git
工具使用
Usage: BestEdrOfTheMarket.exe [args]/help 显示工具帮助信息和退出/v 开启Verbose模式/iat IAT钩子/stack 线程调用栈监控/nt I内联NT钩子/k32 内联Kernel32/Kernelbase钩子/ssn SSN攻击
工具使用样例
BestEdrOfTheMarket.exe /stack /v /k32
BestEdrOfTheMarket.exe /stack /nt
BestEdrOfTheMarket.exe /iat
项目结构配置文件
BestEdrOfTheMarket/BestEdrOfTheMarket.exeDLLs/Kernel32.dllntdll.dlliat.dllTrigerringFunctions.jsonYaroRules.jsonjsoncpp.dll
YaroRules.json-包含了一个JSON数组其中包含了在监控线程调用栈时需要识别的模式
{Patterns: [d2 65 48 8b 52 60 48 8b 52 18 48 8b 52 20 48 8b 72 50 48,49 be 77 73 32 5f 33 32 00 00,...]}
调用栈监控建议目标为一个加密Shellcode加载器时监控NtCreateFile函数但如果目标是一个反射型加载器并且使用了NtCreateUserProcess时就不建议这样做了因此我们应该根据实际的情况选择要监控的NT层程序
{DLLBasedHooking: {NTDLL.dll: [NtAllocateVirtualMemory,...],KERNELBASE.dll: [VirtualAlloc...],KERNEL32.dll: [VirtualAlloc...]},StackBasedHooking: {Functions: [NtCreateUserProcess,...]},SSNCrushingRoutines: {Functions: [NtCreateSection...]},IATHooking: {Functions: [VirtualAlloc,...]}}
TrigerringFunctions.json-用于描述已经设置了钩子的函数
DLLBasedHooking-不可修改修改它的值没有任何意义
StackBasedHooking-可以修改用于指定需要监控的函数这些函数被调用之后将触发工具对线程调用栈的分析
SSNCrushingRoutines可以修改这里可以指定NT层程序
IATHooking可以修改这里指定的函数将会在IAT层设置钩子
工具使用演示 项目地址
BestEdrOfTheMarket【GitHub传送门】
参考资料 Best EDR Of The Market
