HookDump:安全产品挂钩检测

时间:2024-04-21 09:24:13
【文件属性】:

文件名称:HookDump:安全产品挂钩检测

文件大小:22KB

文件格式:ZIP

更新时间:2024-04-21 09:24:13

hooking edr redteam-tools C++

挂钩转储 EDR功能挂钩转储 请参阅Zeroperil博客文章以获取更多信息 建筑资源 为了构建此版本,您将需要Visual Studio 2019(可以使用社区版)和CMake。 批处理文件Configure.bat将使用Visual Studio解决方案创建两个生成目录。 该项目可能使用具有正确CMake命令行的MinGW进行构建,这是未经测试的YMMV。 依赖zydis反汇编程序,因此请确保在配置项目之前更新git中的子模块。 有一个32位和64位项目,您可能会发现EDR在32/64位中挂钩了不同的功能,因此构建和运行这两个可执行文件可能会提供更完整的结果 笔记 一些EDR替换了TEB结构中的WOW存根(特别是Wow32Reserved),以挂接32位二进制文​​件的系统调用。 在这种情况下,您可能会看到零个钩子,因为NTDLL中没有跳转指令。 大多数likley您将看到x64


【文件预览】:
HookDump-main
----.gitignore(303B)
----Configure.bat(270B)
----LICENSE(34KB)
----HookDump.cpp(26KB)
----.gitmodules(80B)
----zydis()
----README.md(2KB)
----LibraryList.inl(9KB)
----CMakeLists.txt(551B)

网友评论