利用硬件断点来躲避端点检测和响应平台的监控
作者:Sec-Labs | 发布时间:
项目地址
https://github.com/CymulateResearch/Blindside
Blindside 是一种逃避端点检测和响应 (EDR) 和扩展检测和响应 (XDR) 平台监控的技术,它使用硬件断点来注入命令并执行意外、不需要或恶意的操作。它涉及创建一个断点处理程序,并设置一个硬件断点,该断点将强制被调试的进程仅将 ntdll 加载到内存中。这将产生一个干净且未挂钩的 ntdll,然后可以将其复制到我们的进程并取消挂钩原始的 ntdll。
请注意,此技术只能用于研究和测试目的,不得用于任何非法或恶意活动。此存储库包含实现 Blindside 技术所需的代码和说明。
标签:工具分享, EDR产品, 主机安全