首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 求助问答
    3. 发新帖
关于火绒剑实现原理
2023-8-26 10:31 4201

关于火绒剑实现原理

Oxygen1a1 活跃值
2023-8-26 10:31
4201

求助下大佬们,火绒剑的对于行为监控模块的实现原理是什么?
ETW还是说全局进程注入进行hook?还是说有其他方法


阿里云助力开发者!2核2G 3M带宽不限流量!6.18限时价,开 发者可享99元/年,续费同价!

收藏
点赞0
打赏
分享
最新回复 (7)
hzqst
雪    币: 12839
活跃值: (9028)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
私信
hzqst 3 2023-8-26 12:18
2
1
4.0时期一直是早期注入然后hook ntdll,后面的版本没关注了
Oxygen1a1
雪    币: 1822
活跃值: (4490)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
Oxygen1a1 2023-8-26 14:27
3
0
hzqst 4.0时期一直是早期注入然后hook ntdll,后面的版本没关注了
感谢大表哥,那就说得通了,之前有的样本监视不到行为估计是因为直接走的syscall
咖啡_741298
雪    币: 6
活跃值: (2985)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
咖啡_741298 2023-8-26 17:14
4
0
hzqst 4.0时期一直是早期注入然后hook ntdll,后面的版本没关注了
不是吧,之前测试过,直接syscall也能被监控到
绿色玩家999
雪    币: 56
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
绿色玩家999 2023-8-26 18:12
5
0
InstrumentationCallback ?
黑洛
雪    币: 6124
活跃值: (4176)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
私信
黑洛 1 2023-8-27 03:35
6
0
etw不太可能,他现在还是有注入dll的,至于楼上说的syscall还能监控到这点我倒是没关注过,有兴趣可以写个demo试一下
咖啡_741298
雪    币: 6
活跃值: (2985)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
咖啡_741298 2023-8-27 17:09
7
0
黑洛 etw不太可能,他现在还是有注入dll的,至于楼上说的syscall还能监控到这点我倒是没关注过,有兴趣可以写个demo试一下
文件 注册表 进程 线程 的监控,不是注册obj callback 就能监控了吗?
黑洛
雪    币: 6124
活跃值: (4176)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
私信
黑洛 1 2023-8-28 07:56
8
0
咖啡_741298 文件 注册表 进程 线程 的监控,不是注册obj callback 就能监控了吗?
没印象了
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回