原创 瓦都尅 小宝的安全学习笔记
小宝的安全学习笔记
微信号 blackTechOfBaby
功能介绍 记录并分享自己学习的安全知识和总结思考
__发表于
收录于合集
#红蓝对抗 2 个
#EDR 1 个
本篇若不了解相关领域,读起来可能比较晦涩。懂得先记下,不懂的有个印象,用到了再仔细研究。
EDR(Endpoint Detetion And Response)“预测、防护、检测和响应”的技术体系,作用贯穿安全事件发生的全过程。
你可以类比成HIDS加个R和零信任的Agent+策略引擎。
- 内核回调
- DLL注入(Hook/Patch)
- 修改执行流
现状: 用户态运行
对抗手段: 直接kill掉进程
现状: 高权限情况下运行
对抗手段: 提权kill,通过BYPASSUAC、内核漏洞、加驱动、绕过KPP(EPTHOOK)等
现状: Agent-Server通信
对抗手段:
- 阻断和Server端的通信
- 阻断采集日志的回传
现状: 链路协议和标准
对抗手段:
- 协议复用
- 伪造心跳
- 伪造日志
- DLL Hollowing模块镂空
- 幽灵内存加载
- 重载NTDLL
- 直接使用SYSCALL
- PE内存加载
- BOF
- SHELLCODE自注入
- 多层父进程
- 模拟正常软件安装setup.exe
- 白名单目录
- 白名单进场
- ...
- 直接干掉Agent
- 直接阻断通讯
- 复制粘贴修改/替代
- 自实现CMD混淆
- RDP多开
- 杀软
- 驱动白利用
预览时标签不可点
微信扫一扫
关注该公众号
知道了
微信扫一扫
使用小程序
取消 允许
取消 允许
: , 。 视频 小程序 赞 ,轻点两下取消赞 在看 ,轻点两下取消在看