RyomenMisa/TagYoureIt
GitHub: RyomenMisa/TagYoureIt
一个基于用户空间行为分析的端点检测与响应(EDR)工具,通过代码注入技术实时监控进程并支持自定义规则隔离威胁。
Stars: 0 | Forks: 0
# TagYoureIt
# 端点检测与响应
```
TAG YOU'RE IT - by Misa
```
====================================================
[!] 基本信息
EDR 运行在用户空间(Ring 3)。
当前版本没有内核层(Ring 0)的驱动程序。
请记住:拥有 Ring 0 访问权限的系统杀毒软件始终
具有最高优先级,并可能将 EDR 的运行判定为
可疑活动。
[!] 工作原理
系统使用行为分析和代码注入技术对目标进程进行监控。
这使得系统能够实时追踪威胁,
而不是仅仅依靠特征码数据库进行文件比对。
请谨慎操作:具有强拦截策略的杀毒软件
可能会强制终止 EDR 的运行。
[!] 配置与规则
您可以通过 'rules.txt' 文件自定义规则,
以隔离或终止不需要的进程。
* 警告:在 C++ 内核中配置错误的规则
可能会导致系统不稳定。
如果彻底搞砸了,您就得自己去折腾 C++ 代码了。
解密被隔离的程序时,会在同目录下生成一个包含剖析信息的文本文件。
[!] 文件结构
* TagYoureIt.exe — 控制台内核 (C++)。
* TagYoureIt_EDR.exe — 图形用户界面 (Python) + 内核 (C++)。
* edr_core_activity.log — 包含您所有的日志记录。
现在轮到您来伤脑筋了。
Misa。
标签:C++, EDR, SSH蜜罐, 多包管理, 数据擦除, 端点检测与响应, 脆弱性评估, 脱壳工具, 进程注入, 逆向工具