eren717/ServiceCompat

# ServiceCompat 反 AV 与 EDR 规避。涵盖检测、绕行和失效化的 60 种不同技术。 ## 内容概览 **检测** - 通过检查进程名、服务名、驱动加载列表、窗口类、注册表键、WMI 查询、加载的 DLL 以及命名管道来识别正在运行的安全产品。覆盖主流 AV 和 EDR（Defender、CrowdStrike、SentinelOne、Carbon Black 等）。 **ETW/AMSI 绕行** - 在内存中修补 EtwEventWrite、NtTraceEvent 和 AmsiScanBuffer。还包含一个通过从磁盘或 KnownDlls 区段加载干净的副本来对 ntdll 进行脱钩的版本。 **Defender 专用** - 通过注册表 + WMI + COM 禁用实时监控、篡改保护、云端交付保护、样本提交和排除项管理。涵盖 MpPreference cmdlet 方式和直接注册表写入方式。 **回调移除** - 通过遍历内存中的回调数组，枚举并移除内核通知回调（PsSetCreateProcessNotifyRoutine、ObRegisterCallbacks、CmRegisterCallback）。 **防火墙** - 通过 INetFwPolicy2 COM 添加/移除/修改 Windows 防火墙规则。 **脱钩** - 多种 ntdll 恢复方法：从磁盘映射、从 KnownDlls 映射、从挂起进程映射、直接系统调用回退。 ## 构建 ``` cl /std:c++17 /EHsc service_compat.cpp ``` 需要 `service_compat.cpp` 和 `compat.h`。 ## 免责声明 仅供学习和授权测试使用。

标签：AMSI 绕过, C++, EDR 绕过, ETW Patching, Hpfeeds, PPL 绕过, RFI远程文件包含, Shell模拟, TGT, Unhooking, Windows Defender, Windows 安全, Windows 防火墙, 中高交互蜜罐, 事件日志清除, 免杀技术, 内核回调移除, 反病毒规避, 子域名变形, 恶意软件开发, 提权, 攻防演练, 数据展示, 数据擦除, 暴力破解检测, 私有化部署, 端点可见性, 系统调用, 红队, 网络安全, 防御规避, 隐私保护