TamperingSyscalls 项目下载及安装教程

1. 项目介绍

TamperingSyscalls 是一个由 rad9800 开发的开源项目，旨在通过滥用异常处理（EH）来绕过端点检测与响应（EDR）系统。该项目由两个部分组成：参数欺骗和系统调用检索。通过设置全局异常处理程序和硬件断点，TamperingSyscalls 提供了一种替代直接系统调用的解决方案。

2. 项目下载位置

TamperingSyscalls 项目托管在 GitHub 上，可以通过以下步骤进行下载：

1. 打开终端或命令提示符。
2. 使用 git clone 命令下载项目：

git clone https://github.com/rad9800/TamperingSyscalls.git

3. 项目安装环境配置

3.1 环境要求

• 操作系统：Windows 10 或更高版本
• 开发工具：Visual Studio 2019 或更高版本
• 编程语言：C++ 和 Python

3.2 环境配置步骤

1. 安装 Visual Studio：

   • 下载并安装 Visual Studio 2019 或更高版本。
   • 在安装过程中，确保选择“使用 C++ 的桌面开发”工作负载。

2. 安装 Python：

   • 下载并安装 Python 3.x 版本。
   • 确保 Python 已添加到系统环境变量中。

3.3 环境配置示例

4. 项目安装方式

1. 打开项目：

   • 打开 Visual Studio，选择“打开项目或解决方案”。
   • 导航到下载的项目目录，选择 TamperingSyscalls.sln 文件并打开。

2. 编译项目：

   • 在 Visual Studio 中，点击“生成”菜单，选择“生成解决方案”。
   • 等待编译完成，确保没有错误。

3. 运行项目：

   • 在 Visual Studio 中，点击“调试”菜单，选择“开始调试”或按 F5 键。
   • 项目将开始运行，并显示相关输出。

5. 项目处理脚本

TamperingSyscalls 项目包含一个名为 gen.py 的 Python 脚本，用于生成所需的函数。以下是使用该脚本的步骤：

1. 打开终端：

   • 导航到项目目录中的 gen.py 文件所在位置。

2. 运行脚本：

   • 使用以下命令生成所需的函数：

python gen.py NtOpenSection NtMapViewOfSection NtUnmapViewOfSection

3. 生成文件：
   • 脚本将生成三个文件：TamperingSyscalls.cpp、TamperingSyscalls.h 和 main.cpp。
   • 将生成的文件包含到项目中，并根据需要进行编译和运行。

通过以上步骤，您可以成功下载、安装并运行 TamperingSyscalls 项目。