SysWhispers:通过直接系统调用规避AVEDR

时间:2024-06-19 11:45:51
【文件属性】:

文件名称:SysWhispers:通过直接系统调用规避AVEDR

文件大小:203KB

文件格式:ZIP

更新时间:2024-06-19 11:45:51

Assembly

系统私语 SysWhispers 通过生成植入程序可以用来进行直接系统调用的头文件/ASM 文件来帮助规避。 从Windows XP到Windows 10 19042(20H2),都支持所有核心syscall。 在example-output/文件夹中可用的示例生成文件。 介绍 各种安全产品在用户模式 ​​API 中放置钩子,允许它们将执行流重定向到它们的引擎并检测可疑行为。 ntdll.dll中生成系统调用的函数仅包含一些汇编指令,因此在您自己的植入物中重新实现它们可以绕过这些安全产品挂钩的触发。 该技术由推广,他的有更多值得阅读的技术细节。 SysWhispers 为红队人员提供了为核心内核映像 ( ntoskrnl.exe ) 中的任何系统调用生成标头/ASM 对的能力,该功能适用​​于从 XP 开始的任何 Windows 版本。 标头还将包括必要的类型定义。 这与 POC 之


【文件预览】:
SysWhispers-master
----data()
--------syscall_numbers.json(321KB)
--------prototypes.json(323KB)
--------typedefs.json(41KB)
----LICENSE(11KB)
----example-output()
--------syscalls.h(105KB)
--------syscalls.asm(1.96MB)
----requirements.txt(16B)
----.gitignore(9B)
----syswhispers.py(18KB)
----README.md(10KB)

网友评论