首页
/ 推荐开源项目:UnhookingPatch - 突破EDR监控的新策略

推荐开源项目:UnhookingPatch - 突破EDR监控的新策略

2024-05-23 08:14:51作者:丁柯新Fawn

1、项目介绍

在网络安全领域,恶意软件检测和响应(EDR)系统扮演着至关重要的角色。然而,对于开发者和研究人员来说,如何测试程序以绕过这些系统的监控是一项挑战。这就是UnhookingPatch的用武之地。这个开源项目提供了一种创新方法,通过动态地修补NT APIstub并解析SSNs与系统调用指令,来避开EDR挂钩。

项目界面截图

2、项目技术分析

UnhookingPatch的核心是利用运行时的修补技术,它能够识别并更改那些被安全软件用于监控的关键点。通过替换NT API的函数指针,项目能有效地防止EDR工具对系统调用的拦截。此外,项目还包含一个名为bin2mac.py的脚本,该脚本使用macaddress库将二进制文件转换为MAC地址,这一特性可能对网络协议或物联网设备的测试非常有用。

3、项目及技术应用场景

  • 安全研究:安全研究人员可以使用UnhookingPatch来测试其代码是否能成功避开常见的EDR解决方案,从而提高他们的逆向工程和逃避技巧。
  • 软件开发:开发者可以利用该项目确保其应用程序在高度安全的环境中仍能正常运行,尤其是在面临潜在恶意软件检测时。
  • 教学用途:在网络安全课程中,UnhookingPatch是一个生动的实例,展示了系统级规避技术的实战应用。

4、项目特点

  • 动态修补:无需重新编译代码,即可在运行时改变函数行为,实现快速且灵活的逃避机制。
  • 跨平台兼容:尽管项目未明确提及所有支持平台,但其核心概念适用于任何支持NT API的Windows环境。
  • 易于使用:提供的Python脚本使得二进制到MAC地址的转换简单易行,只需一行命令即可完成。
  • 开源社区:作为开源项目,UnhookingPatch鼓励开发者贡献代码,共同提升项目的功能和安全性。

UnhookingPatch为网络安全世界带来了新的视角,它不仅是对抗EDR工具的有力工具,也是学习和研究系统级逃避技术的理想资源。如果你正在寻找这样的解决方案,那么UnhookingPatch值得你的关注和尝试。

登录后查看全文
热门项目推荐

项目优选

收起
ohos_react_nativeohos_react_native
React Native鸿蒙化仓库
C++
176
260
RuoYi-Vue3RuoYi-Vue3
🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
854
505
openGauss-serveropenGauss-server
openGauss kernel ~ openGauss is an open source relational database management system
C++
129
182
openHiTLSopenHiTLS
旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
254
295
ShopXO开源商城ShopXO开源商城
🔥🔥🔥ShopXO企业级免费开源商城系统,可视化DIY拖拽装修、包含PC、H5、多端小程序(微信+支付宝+百度+头条&抖音+QQ+快手)、APP、多仓库、多商户、多门店、IM客服、进销存,遵循MIT开源协议发布、基于ThinkPHP8框架研发
JavaScript
93
15
Cangjie-ExamplesCangjie-Examples
本仓将收集和展示高质量的仓颉示例代码,欢迎大家投稿,让全世界看到您的妙趣设计,也让更多人通过您的编码理解和喜爱仓颉语言。
Cangjie
331
1.08 K
HarmonyOS-ExamplesHarmonyOS-Examples
本仓将收集和展示仓颉鸿蒙应用示例代码,欢迎大家投稿,在仓颉鸿蒙社区展现你的妙趣设计!
Cangjie
397
370
note-gennote-gen
一款跨平台的 Markdown AI 笔记软件,致力于使用 AI 建立记录和写作的桥梁。
TSX
83
4
CangjieCommunityCangjieCommunity
为仓颉编程语言开发者打造活跃、开放、高质量的社区环境
Markdown
1.07 K
0
kernelkernel
deepin linux kernel
C
21
5