theSecHunter/Hades-Windows

 **适用 Win7/Win11 x86/x64 用户态和内核态数据采集，XP 未做兼容测试。** ### v1.0： 单独引擎版本. ### v2.x： v1.0 引擎重构，采集器分离用户态和内核态 lib，HadesSvc 数据引擎消费 lib 生产数据，组织格式为 json 和 protobuf。Duilib 界面完善，Win7/Win11 系统兼容性完善。 Hboat 支持 Windows 插件上报数据解析，GoAgent 统一管理和上报，可作为插件下发。 GoAgent 负责 GRPC 和 Windows 插件管理(跨平台)：[https://github.com/theSecHunter/Hades-Linux/tree/main](https://github.com/theSecHunter/Hades-Linux/tree/main/agent) GoServer已合并新项目Hboat(跨平台): https://github.com/theSecHunter/Hboat ### rust版本 Windows Rust版本正在开发中 https://github.com/theSecHunter/Hades-Linux/tree/dev-win-plugins-rs/plugins/wdriver-rust ## 方案： ### Kernel   x64内核探针粗糙分为两类技术方案： - 基于Intel-x/d虚拟化技术，绕过PG保护做花式Hook，功能强大-系统无痕。 - 基于微型过滤框架和注册回调，兼容性好/快速开发/接口完善。   项目采用过滤驱动+注册回调,方案中规中矩。有想过将VT Hook移植进来,不可控因素较多(不完善),有兴趣的可以跳转：https://github.com/TimelifeCzy/kHypervisorBasic ### User   System数据采集和ETW事件采集。 ### 文档 | 文档 | 文件名 | 版本| | ---------------- | ---------------------------------- |----| | 内核文档 | Documentation/Win_Kernel_Event.md |v2.0| | 应用层文档 | Documentation/Win_User_Event.md |v2.0| | ETW文档 | Documentation/Etw_Event_Struct.md |v2.0| | WFP文档 | Documentation/Win_Wfp_Event.md |v1.0| | 传输结构(c) | Documentation/Windows Struct_c.md(see HadesSdk/include/sysinfo.h) |v2.0| | Hboat插件管理指令(Windows) | HboatCommand.md |v2.0| ### 框架: 

v2.0

### 内核回调上抛事件 v2.0 | 事件 | 描述 | 进度 | | :----- | :---- | :---- | | 进程 | 进程创建 - 销毁 - 进程数据 | 完成 | | 线程 | 线程创建 - 销毁 - 线程数据 | 完成 | | 注册表 | 删除 - 修改 - 枚举 - 重命名等 | 完成 | | 模块 | DLL - 驱动 | 完成 | | 会话 | 用户登录/退出/Session切换 | 完成 | | 文件 | 文件读写访问 OS <= Windows7 (Windows8以上修改IoFileObjectType会触发PG) | 完成 | ### 内核接口采集事件 v2.0 | 事件 | 描述 | 进度 | | :----------- | :-------------------------- | :---- | | 进程 - 线程 - 模块 - 内存 | 系统已运行的进程 - 线程 - 模块(DLL/SYS) | 完成 | | IDT | 系统IDT | 完成 | | GDT | 系统GDT | 完成 | | SSDT/SSSDT | 系统SSDT | 完成 | | FSD | FastFat/NTFS - 派遣函数内核地址 | 完成 | | MouseKeyBoard | 鼠标键盘 - 派遣函数内核地址 | 完成 | | DpcTimer | 遍历系统 DpcTimer | 完成 | | Network | NSI提取IP:PORT | 完成 | | - | | | | 内核回调 | 进程/线程/映像/关机/MINIFILTER/WFP 通知| 开发中 | | - | | | | HIVE | hive注册表 - 开发中 | 未开发 | | NTFS | ntfs文件解析 - 开发中 | 未开发 | **注：Dpc硬编码，兼容性还未处理.** ### 应用接口采集事件 v2.0 前身：https://github.com/TimelifeCzy/Windows-emergency-servicetools 已集成该项目. | 事件 | 描述 | 进度 | | :------------ | :--------------------------------- |:------------ | | 启动项 | 计划任务、注册表提取| 完成 | | 网络连接 | 活跃TCP/UDP| 完成 | | 进程树 | 活跃进程（线程、模块)| 完成 | | 系统信息 | 系统基础信息(软/硬件信息等)| 完成 | | 系统日志 | 应用程序日志、安全日志、系统日志数据| 待定 | | 系统用户 | 系统用户| 完成 | | 系统软件服务 | 已安装软件/服务| 完成 | | - | | | | Rootkit_PE | Rootkit相关PE文件地址解析,提取数据源Offset.| 开发中 | | - | | | | 文件 | 列举指定目录下文件,可与NTFS数据对比.| 未开发 | ### 用户态ETW事件上抛 v2.0 | 事件 | 描述 | 进度 | | :-------- | :------------------------------- |:-------- | | 文件 | 创建、删除、读写 | 完成 | | 注册表 | 创建、删除、读写 | 完成 | | 进程树 | 进程、线程 - 创建/销毁/模块加载 | 完成 | | 网络 | tcp/udp五要素 | 完成 | **Etw事件结构See: etw_event_struct.md** ### Duilib界面展示 v2.0 | 事件 | 描述 | 进度 | | :-------- | :------------------------------- |:-------- | | Cpu利用率| 动态刷新 |完成| | 系统内存| 动态刷新|完成| | 处理器详细|静态展示 |完成| | 操作系统版本|静态展示 |完成| | 当前用户|静态展示 |完成| | 主板型号|静态展示 |完成| | 显示器型号|静态展示 |完成| | 电池|静态展示 |完成| | 摄像头| 静态展示 |完成| | 蓝牙| 静态展示|完成| | - | | | | 麦克风| 静态展示|未开发| | - | | | | GPU| 动态刷新|未开发| | 磁盘I/O|动态刷新 |未开发| | CPU温度| 动态刷新|未开发| | 主板温度| 动态刷新|未开发| | 显卡温度| 动态刷新|未开发| | 硬盘温度| 动态刷新|未开发| | 流量上传/下载|动态刷新 |未开发| **Duilib展示数据不会上报, GoAgent上报CurrentSystemInfo** ### 驱动行为拦截 v2.0： | 事件 | 描述 | 进度 | 描述 | 引用代码 | | -------- | ------------------------------- |-------- | -------- |-------- | | 进程拦截| 自定义进程 | 完成| 基于回调 | | | 注册表拦截| 自定义注册表 | 完成| 基于回调 | | | 目录保护| 目录和子目录/文件 | 完成| 基于MiniFilter| | | 流量拦截/重定向| TCP | 完成| 基于WFP| | | - | | | | | 注入检测 | CreateRemote/内存 | 进行中| 基于回调 | https://bbs.pediy.com/thread-193437.htm
https://github.com/huoji120/CobaltStrikeDetected/ | ### HIPS **服务端管理规则随着插件下发,HadesSvc.exe解析规则写入内核. 支持规则热更新(Hboat下发). 开发中预计v2.4之前全部完成。** **白名单模式：启动规则后(不包含已存在进程)，只允许白名单定义的规则操作。** **黑名单模式：启动规则后(不包含已存在进程)，不允许黑名单定义的规则操作。** #### 进程黑白名单模式(内核规则匹配) { // 1白名单,2黑名单 "processRuleMod": 2, // 白名单: 生效后只允许执行cmd.exe|powershell.exe等进程 // 黑名单: 生效后不允许执行cmd.exe|powershell.exe等进程 "processName": "cmd.exe|powershell.exe|vbs.exe|wscript.exe" } **See Rule: config/processRuleConfig.json**  #### 注册表黑白名单模式(应用规则匹配) **引擎工作方式：匹配 processName 和 registerValuse 二元组。多组规则情况下，命中某条规则成功后不继续匹配，以命中规则为准。** - 举例1) 2) cmd.exe配置冲突，1) 允许cmd.exe访问Run, 2) 不允许cmd.exe规则访问 Run，配置冲突，冲突时顺序靠前为准(1为准)。 - 举例2) 3) cmd.exe既可以是白名单-又可以是黑名单，比如Run注册表不允许cmd.exe访问(黑名单)，Settings允许cmd.exe访问(白名单),registerValuse键值不冲突即可。 - 注：打开是 "删除-创建-设置-查询-重命名操作" 前提，比如修改，必须配置成打开修改(1000100)，删除则是打开删除(1010000),如果open为0意味着这个过程中有key_access or key_read标志都会失败。 { { 1) // 仅允许cmd.exe|powershell.exe对regusterValuse打开和修改. "registerRuleMod": 1, "processName": "cmd.exe|powershell.exe", "registerValuse": "\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run|\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOne", // 1000000打开(Create/Open)，100000关闭(Close)，10000删除(Delete)，1000创建(CreteNew), 100设置(SetValue)，10查询(QueryValue)，1重命名(Rename) "permissions": 1000100(打开和修改) } { 2) // 不允许cmd.exe|vbs.exe|wscript.exe对regusterValuse进行全部操作, 也可以只配禁止打开,这样修改 删除 查询都不可用. "registerRuleMod": 2, "processName": "cmd.exe|vbs.exe|wscript.exe", "registerValuse": "\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run|\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOne", "permissions": 1111111(判定KEY_ALL_ACCESS) } { 3) // 仅允许svchost.exe|cmd.exe对regusterValuse修改重命名操作 "registerRuleMod": 1, "processName": "cmd.exe|svchost.exe", "registerValuse": "\Registry\Machine\Software\WOW6432Node\Policies\Microsoft\MUI\Settings", "permissions": 1000101(打开修改重命名操作) } } **See Rule: config/registerRuleConfig.json** #### 目录访问黑白名单模式(内核规则匹配) { { // 仅允许word.exe|wps.exe访问Directory "FileIORuleMod": 1, "processName": "word.exe|wps.exe", "Directory": "D:\\Document|C:\\System\\AppData", } { // 不允许word.exe|wps.exe访问Directory "FileIORuleMod": 2, "processName": "word.exe|wps.exe", "Directory": "D:\\Document1|C:\\System\\AppData1", } } **See Rule: config/DirectoryRuleConfig.json** **应用规则匹配：内核先会根据模式对进程过滤，过滤后上抛至应用层规则逻辑处理，根据引擎结果内核做出拦截或放行。处理方式会牺牲性能，不过对于系统来说可以忽略不计。** ### GRPC/Protobuf v2.0 **考虑 GRPC 编译复杂性和移植成本，v2.0 VS2019 工程默认不编译 HadesSvc 内的 grpc.cpp/grpc.h，GoAgent 负责 GRPC 统一管理；HadesSvc 当前保留 Protobuf 协议和 C++ lib 链接。** Windows对于很多第三方生态逐步容纳，Grpc github cmake编译会出现很多问题，如果使用推荐方式: vcpkg install grpc 配置vs2019 工具 --> 选项 --> NuGet管理即可，详细可以参考网上教程，连接程序使用MD编译。 C++ Grpc请参考官方文档：https://grpc.io/docs/languages/cpp/basics/ **GRPC配置文件: config/client_config** **当前 VS2019 工程默认只编译 transfer.pb.cc，grpc.cpp/grpc.h 为历史保留代码。** #### Minifilter v3.0 | 任务 | 优先级 |状态| | ------------------------------------------------------------ | ------ |------| | 文件备份： 进程文件落地隔离，脚本命令和IE下载文件备份.
不局限于curl/cmd/powershell/vbs/js等形式. | 中 |待定| | 勒索病毒行为检测：minifilter监控, 诱饵 + 访问控制 + 行为判定 | 高 |待定| #### WFP v2.0 | 网络层 | 描述 | | :------------ | :-------------- | | Established层 | ProcessInfo | | 传输层 | TCP - UDP | | 网络层 | IP | | 数据链路层 | OS >= Windows10 | **v2.0基于WFP流量隔离** | 任务 | 优先级 |状态| | ------------------------------------------------------------ | ------ |------| | 进程/IP:PORT Deny和Redirect | 高 |完成| | DNS访问控制 | 高 |完成| Yaml配置流量规则, 支持基于TCP/UDP协议拦截和重定向, 重定向指定或全局进程, 详细请看示例, DNS优先级大于UDP, Deny优先级大于Redirect. tc: - name: "eguard_egress_test_project" address: "192.168.1.1/24" protocol: TCP # ALL/TCP/UDP ports: # empty means all ports. 32(single port like 80), 16(range like 8079-8080) - 80 - 8079-8080 action: DENY # DENY/LOG level: INFO - name: "test_tcp_redirect" #address: "" protocol: TCP # TCP #ports: # empty means all ports. # - 80 # - 8079-8080 processname: "1.exe|2.exe" # empty means all process. redirectip: "192.168.188.188" # redirect to ipaddress redirectport: "88" # redirect to port action: REDIRECT level: INFO dns: - name: "eguard_egress_test_dns" action: DENY domain: "grpc.hades.store" - name: "eguard_egress_test_dns_1" action: DENY domain: "*.baidu.com" ### 规划： #### v2.x |版本 | 任务 | 优先级 | 状态 | |--------| --------------------------------------------------------- | -------------- |-------------- | |v2.0~v2.3| Duilib终端界面| 中|完成 | |v2.0~v2.3| ETW和内核态回调监控兼容Win7/Win11 x32/x64版本，稳定性测试|高|完成 | |v2.0~v2.3| 采集Lib接口更改为订阅-发布者模式 | 中 |完成| |v2.0~v2.3| 插件模式改造 | 高 |完成| |v2.3.2| 数据采集粒度完善 | 高 |完成| |v2.3.4| 进程保护 | 高 |完成| |v2.3.4| 注册表键值保护 | 高 |完成| |v2.3.5| 目录访问保护|高 |完成| |v2.3.6.1| TCP/UDP流量拦截/重定向|高 |完成| |- | | | | |v2.3.7| 注入拦截|高 |进行中| |v2.3.7| 内核回调枚举|高 |进行中| |v2.3.7| 内核钩子检测|高 |进行中| |- | | | | |v2.x| ETW GUID LOG方式注册，非"NT KERNEL LOG"，复杂环境注册冲突被覆盖 | 中 |待定|   **致力于提升稳定性和健壮性，以插件形式提供 lib/dll，便于集成至 Windows 终端三方产品，提升软件的安全能力和质量。** ### 历史版本： #### v1.0 实现：主要实现引擎探针和上层数据-上报流程打通。 #### v2.0 重构：代码质量优化，包括win7 - win11等平台的兼容性，局部Edr。 ### 参考： - 看雪论坛 & OpenEdr & Netfilter SDK & Sandboxie - 项目将零散代码组织在一起，业余投入精力有限。 部分cpp早期学习编写，也有引用代码cpp中有标注。 ## Contact Input `Hades` to get the QR code ## 404Starlink Hades has joined [404Starlink](https://github.com/knownsec/404StarLink) ## Stargazers over time [](https://starchart.cc/theSecHunter/Hades-Windows)

标签：AMSI绕过, Duilib, EDR, ETW, Go, Golang, gRPC, HIDS, HIPS, HTTP工具, JSON, minifilter, Protobuf, Python工具, Ruby工具, Rust, UML, Windows 11, Windows 7, x64, x86, 主机入侵检测, 主机响应, 事件跟踪, 内核态, 内核驱动, 可视化界面, 命令控制, 威胁检测, 子域名变形, 安全产品, 安全编程, 微过滤驱动, 数据采集, 日志审计, 用户态, 端点安全, 系统回调, 系统防护, 网络协议, 网络安全, 网络安全审计, 网络流量审计, 脆弱性评估, 补丁管理, 隐私保护