RyomenMisa/TagYoureIt

GitHub: RyomenMisa/TagYoureIt

一个基于用户空间行为分析的端点检测与响应(EDR)工具,通过代码注入技术实时监控进程并支持自定义规则隔离威胁。

Stars: 0 | Forks: 0

# TagYoureIt # 端点检测与响应 ``` TAG YOU'RE IT - by Misa ``` ==================================================== [!] 基本信息 EDR 运行在用户空间(Ring 3)。 当前版本没有内核层(Ring 0)的驱动程序。 请记住:拥有 Ring 0 访问权限的系统杀毒软件始终 具有最高优先级,并可能将 EDR 的运行判定为 可疑活动。 [!] 工作原理 系统使用行为分析和代码注入技术对目标进程进行监控。 这使得系统能够实时追踪威胁, 而不是仅仅依靠特征码数据库进行文件比对。 请谨慎操作:具有强拦截策略的杀毒软件 可能会强制终止 EDR 的运行。 [!] 配置与规则 您可以通过 'rules.txt' 文件自定义规则, 以隔离或终止不需要的进程。 * 警告:在 C++ 内核中配置错误的规则 可能会导致系统不稳定。 如果彻底搞砸了,您就得自己去折腾 C++ 代码了。 解密被隔离的程序时,会在同目录下生成一个包含剖析信息的文本文件。 [!] 文件结构 * TagYoureIt.exe — 控制台内核 (C++)。 * TagYoureIt_EDR.exe — 图形用户界面 (Python) + 内核 (C++)。 * edr_core_activity.log — 包含您所有的日志记录。 现在轮到您来伤脑筋了。 Misa。
标签:C++, EDR, SSH蜜罐, 多包管理, 数据擦除, 端点检测与响应, 脆弱性评估, 脱壳工具, 进程注入, 逆向工具