🛡️ Tartarus' Gate:EDR 绕过的下一次进化
面向红队的高级系统调用解析与 WINAPI Hook 绕过技术
🧠 概念概述
欢迎来到 Tartarus' Gate。端点检测与响应(EDR)的格局在不断变化。最初,Hell's Gate 彻底改变了这一领域,随后它演变为 Halo's Gate,通过取消特定内存段的 Hook 来绕过 EDR。现在,我进一步推进了这种演变。它已经转变为 Tartarus' Gate,以应对现代防御方案使用的更加激进和复杂的 WINAPI Hook 方法。
🎯 核心理念
“适应环境是在沙箱中生存的关键。”
我做这个项目的目的是展示规避技术必须具备极强的适应性。防御遥测技术正变得越来越智能,因此我们与 Windows 内核交互的方式必须更加隐蔽,直接融入合法进程执行的噪音中。
🚀 快速入门指南
🧪 实现说明
要使用此概念验证(PoC),只需将占位数组替换为您自己的 shellcode。我故意将 payload 执行放置在二进制文件的 .text 段中。虽然该技术在技术上可以在任何其他内存段(如 .data 或 .rdata)中运行,但我会让您自己去弄清楚为什么从 .text 执行对于操作安全(OpSec)来说要优越得多。
🖥️ 关键代码修改
与之前的“门”相比,我引入了几项结构性更改:
// 自定义的 VxMoveMemory (memcpy) 已被替换。
// 现在使用 NtWriteVirtualMemory 以获得更好的 EDR 兼容性。
status = NtWriteVirtualMemory(hProcess, pAddress, pShellcode, sSize, &bytesWritten);
如果您仍然喜欢传统方法,只需在源代码中注释掉 NtWriteVirtualMemory 行,并取消注释 VxMoveMemory。
📊 演进架构
graph TD
A[Hell's Gate] -->|直接 SSN 解析| B{EDR 缓解措施}
B -->|EDR 更改系统调用存根| C[Halo's Gate]
C -->|从相邻 API 计算 SSN| D{高级 EDR Hook}
D -->|WINAPI 混淆与深度 Hook| E[Tartarus' Gate]
E --> F[ASM 混淆层]
E --> G[NtWriteVirtualMemory 集成]
E --> H[.text 段执行]
🌐 技术对比矩阵
| 技术 | 主要机制 | 表情符号 | 功能与限制 |
|---|---|---|---|
| Hell's Gate | 直接存根解析 | 🟢 | 如果特定的系统调用存根被大量修改/Hook,则会失败。 |
| Halo's Gate | 相邻 API 差值 | 🟡 | 通过分析未 Hook 的相邻函数来恢复 SSN。 |
| Tartarus' Gate | 高级 Unhooking + ASM 混淆 | 🔥 | 处理复杂的 WINAPI Hook,添加 ASM 垃圾代码以破坏静态特征码。 |
✨ 核心特性
🔄 ASM 混淆
我在实际的系统调用周围添加了几个额外的 ASM(汇编)指令。这起到了“混淆”的作用,打破了静态分析引擎和启发式扫描程序在识别直接系统调用使用时所寻找的可预测字节模式。
🌍 内存拷贝规避
从历史上看,memcpy 的自定义实现(例如 VxMoveMemory)用于避免标准 C 库函数上的 Hook。然而,这种自定义逻辑在某些现代 EDR 的行为分析中表现不佳。我用原生的 NtWriteVirtualMemory 替换了它,它提供了一种更干净、更可靠的内存写入原语。
这个项目站在了巨人的肩膀上。我想向为这些技术奠定基础的杰出头脑致以极大的感谢:
来自 @SEKTOR7net 的 Reenz0h
- Halo's Gate 技术的创造者。
- 该项目很大程度上基于 Reenz0h 的基础性工作。我使用的大多数 C 技术都源自他出色的课程和博客。
- 绝对是目前市面上最好的恶意软件开发课程。他的研究是我的主要动力。
- Halo's Gate 博客 | Sektor7 Institute
@smelly__vx & @am0nsec
- 原始 Hell's Gate 技术的创造者和发布者。
- 在这个方法上做出了极好的工作;我自己动手实践时非常享受。感谢你们!
- Hell's Gate 代码库
- Hell's Gate 原始论文 (PDF)
⚖️ 许可证与法律声明
🚨 免责声明
此工具及相关技术仅供教育目的、防御性研究和经过授权的红队操作使用。
了解恶意软件如何与 Windows API 交互对于构建更好的端点检测机制至关重要。我对任何滥用此代码的行为不承担任何责任。请勿在您缺乏明确书面授权的环境中部署这些技术。
🔗 SEO 关键词(自然融入)
- Tartarus Gate EDR 绕过
- Hell's Gate 与 Halo's Gate 演变
- 恶意软件开发系统调用
- 动态 SSN 解析 Windows API
- ASM 系统调用混淆
- 攻击性 Rust 与 C 技术
- 红队规避战术
🔄 下载与贡献
贡献指南:
- Fork 该代码库。
- 确保任何 pull request 都包含对正在解决的 EDR 新行为的详细说明。
- 保持代码库专注于核心的系统调用解析机制。
Tartarus' Gate —— 不断突破 Windows API 规避的边界。