文章插图
能绕过内存的检测,但无法正常使用
文章插图
感觉ESET一直在我程序里进行内存操作,访问到了不可访问的内存段 。
可能ESET的机制是一直在扫描程序内存,也可能是想要做一些hook 。
我尝试使用RefleXXion的第一种方法,将shellcode加密并使属性为RW或RX的方式加载shellcode:
文章插图
可以成功上线,并且正常使用:
文章插图
总结
该系列文章所有的bypass edr方法都只在用户态进行操作,已经能规避大多数AV/EDR的检测 。但不乏一些edr进行了比较多的内核层面的限制,如炭黑、fireeye等 。
【红队攻防之基础免杀】
推荐阅读
- 封.城之后,世上多了许多“有情人终成眷属”
- 阿凡达2|《遇见你之前》Me before you
- |豆瓣9.1,烂片之王这回神了
- 这款900元的头盔,可能是最安全的进口盔之一!
- 陈敏之|TVB花旦减产转行做美容生意,投资了7位数,直言要为儿子留下产业
- |古玉侦探学之改制玉器或断残改件?
- 玄彬|40岁玄彬孙艺珍喜得子,从相恋到结婚再到生子,进展之快令人羡慕
- 见到00后男生之后,倪萍夸对方长得像姑娘,赵忠祥的话却一针见血
- 桃园三结义之前的故事,三兄弟的情谊是如何建立的?
- 抖音网红赚钱之路,月入过万,十万,百万的秘密