blackorbird
26-06-29 23:33 微博认证:科技博主 头条文章作者

把四款主流EDR的检测逻辑拆出来本地运行
做端点安全测试的从业者大多遇到过一个两难的局面。想要验证自己的 payload 会不会被 EDR (端点检测与响应) 产品拦截,要么在测试环境装上真实的 EDR 代理,可一旦 payload 被标记,很可能还没等用到实战环境就已经失效。要么靠逆向分析去推导 EDR 的检测逻辑,再人工预判拦截点,可推导的结果和实际运行效果总会有偏差。

最近一位安全研究者公布了耗时六个月开发的项目 heavener,把第二种思路推到了极致。这是一套面向 Windows 的模块化 EDR 仿真引擎,能加载从商业端点安全产品中逆向提取的真实检测逻辑,针对实时或回放的 Windows 系统遥测运行判定,最终输出和生产环境 EDR 完全一致的检测结果。
http://t.cn/AXSkpLiX

发布于 广东