文件名称:SysWhispers2:通过直接系统调用进行AVEDR规避
文件大小:69KB
文件格式:ZIP
更新时间:2024-03-27 19:19:12
Assembly
SysWhispers2 SysWhispers通过生成植入程序可用来进行直接系统调用的标头/ ASM文件来帮助规避。 支持所有核心系统调用,并且在example-output/文件夹中提供了示例生成的文件。 SysWhispers 1和2之间的区别 用法与几乎相同,但是您不必指定要支持的Windows版本。 大部分更改都在后台进行。 它不再依赖的,而是使用流行的“ ”技术。 这显着减小了syscall存根的大小。 SysWhispers2中的特定实现是@modexpblog代码的变体。 一个区别是函数名称哈希在每一代中都是随机的。 ,谁曾这种技术早些时候,有另一个基于C ++ 17,这也是值得一试。 原始的SysWhispers存储库仍处于运行状态,但将来可能会弃用。 介绍 各种安全产品在用户模式API函数中放置了钩子,使它们可以将执行流重定向到其引擎并检测可疑行为。 进行系统
【文件预览】:
SysWhispers2-main
----data()
--------base.h(2KB)
--------base.c(4KB)
--------prototypes.json(339KB)
--------typedefs.json(41KB)
----LICENSE(11KB)
----example-output()
--------SyscallsStubs.asm(190KB)
--------Syscalls.c(4KB)
--------Syscalls.h(107KB)
----syswhispers.py(10KB)
----README.md(11KB)