文章总结: 本文翻译自DEFCON30演讲,深入剖析了红队如何绕过YARA、Moneta等内存扫描器。文章详细解析了模式匹配、内存属性检查及调用栈追踪等检测原理,并提出了对应的规避策略,包括利用SystemFunction032加密数据、创建辅助堆加密堆内存、使用FOLIAGE技术混淆可执行代码、以及通过返回地址欺骗隐藏调用栈。最终发布了整合这些技术的CobaltStrike加载器AceLdr,为红队实战提供了有效规避方案。 综合评分: 90 文章分类: 红队,免杀,安全工具,实战经验
结语
尽管 AceLdr 是专为 Cobalt Strike 打造的,但本文介绍的技术可以轻松移植到众多其他项目中。文中每种方法都能绕过现有的扫描器,但这并不意味着它们能对抗未来的实现——正如我们已经在 Hunt-Sleeping-Beacons 身上看到的那样。
内存扫描器与商业安全产品虽然有诸多相似之处,但并不等同。规避了开源扫描器,不代表就能规避商业安全产品;而绕过商业安全产品,往往也不需要完整地绕过内存扫描器,因为厂商受到系统资源和开发成本的限制。
参考致谢
- https://github.com/SecIdiot/FOLIAGE
- https://www.unknowncheats.me/forum/anti-cheat-bypass/268039-x64-return-address-spoofing-source-explanation.html
- https://github.com/waldo-irc/YouMayPasser
- https://github.com/Cracked5pider/Ekko
- https://github.com/waldo-irc/MalMemDetect
如果你对网络安全、红队攻防技术充满热情,渴望学习更多实战技巧,例如渗透测试、自动化脚本编写、免杀技术等, 欢迎关注我的公众号
在这里,我会持续分享更多高质量的技术文章,与你一同探索网络安全的奥秘,提升实战技能! 让我们一起在队攻防的道路上,不断精进,突破边界!
免责声明: 本文仅供安全技术研究与学习交流之用。 严禁将本文所提及的技术用于任何非法用途,包括但不限于未经授权的渗透测试、网络攻击、恶意代码传播等。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:红队工坊 aeverj aeverj《绕过杀软EDR内存扫描》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。








评论