myzxcg
commented
11 months ago 既然知道被拦截的位置,你应该尝试修改一下代码进行绕过。 非常简单:替换"RealBlindingEDR"字符串为其他任意字符串即可绕过(注意有多处),下版本会改成随机字符串
Closed furuanruan closed 11 months ago
myzxcg
commented
11 months ago 既然知道被拦截的位置,你应该尝试修改一下代码进行绕过。 非常简单:替换"RealBlindingEDR"字符串为其他任意字符串即可绕过(注意有多处),下版本会改成随机字符串
myzxcg
commented
11 months ago 补充:可以修改成任意字符串,但这几处字符串都必须相同。
furuanruan
commented
11 months ago 感谢师傅指点!尝试一下再来反馈
furuanruan
commented
11 months ago
v1.2.1的试了一下,会不会还是检测echo_driver.sys驱动的特征
myzxcg
commented
11 months ago 再改一下驱动 hash 然后用 1.2.1 试一下呢
furuanruan
commented
11 months ago
我是用的v1.2.1源码本地编译的
furuanruan
commented
11 months ago
对了,附上原版echo_driver.sys加载时被拦截的提示,直接当作木马了
myzxcg
commented
11 months ago 原版驱动是肯定不行的,用的人太多了。 push 之前我测试是没有问题的。你可以尝试增大驱动的体积且修改hash。如果还不行的话,等我明天测一下再给你反馈吧
furuanruan
commented
11 months ago 在末尾加0,增大到40k还是一样的。。。
myzxcg
commented
10 months ago 用的v1.2.1,可正常加载执行
建议你按照我之前说的方法再测测
furuanruan
commented
10 months ago 好的👌,再问一下,开核晶了吗
furuanruan
commented
10 months ago 试了一下 开着核晶不行 关了可以
myzxcg
commented
10 months ago 自然是开着核晶测的
360核晶下,原版echo_driver.sys被检测hash,微调修改hash绕过检测,但是驱动加载行为被检测,行为被拦截。