绕过Userland EDR钩子,加载内存中的反射式Ntdll,从导出表中触发导出的API
作者:Sec-Labs | 发布时间:
项目地址
https://github.com/D1rkMtr/FilelessNtdllReflection
FilelessNtdll反射
通过基于 Windows ReleaseID 从远程服务器在内存中加载反射 Ntdll 来绕过 Userland EDR 挂钩,以避免打开 ntdll 的句柄,并从导出表触发导出的 API
标签:工具分享, 主机安全
作者:Sec-Labs | 发布时间:
https://github.com/D1rkMtr/FilelessNtdllReflection
通过基于 Windows ReleaseID 从远程服务器在内存中加载反射 Ntdll 来绕过 Userland EDR 挂钩,以避免打开 ntdll 的句柄,并从导出表触发导出的 API