首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 求助问答
    3. 发新帖
未解决 关于火绒剑实现原理
发表于: 2023-8-26 10:31 4731

未解决 关于火绒剑实现原理

Oxygen1a1 活跃值
2023-8-26 10:31
4731

求助下大佬们,火绒剑的对于行为监控模块的实现原理是什么?
ETW还是说全局进程注入进行hook?还是说有其他方法


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (7)
hzqst
雪    币: 12848
活跃值: (9142)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
私信
2
4.0时期一直是早期注入然后hook ntdll,后面的版本没关注了
2023-8-26 12:18
1
Oxygen1a1
雪    币: 2133
活跃值: (5158)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
3
hzqst 4.0时期一直是早期注入然后hook ntdll,后面的版本没关注了
感谢大表哥,那就说得通了,之前有的样本监视不到行为估计是因为直接走的syscall
2023-8-26 14:27
0
咖啡_741298
雪    币: 6
活跃值: (3290)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
hzqst 4.0时期一直是早期注入然后hook ntdll,后面的版本没关注了
不是吧,之前测试过,直接syscall也能被监控到
2023-8-26 17:14
0
绿色玩家999
雪    币: 56
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
5
InstrumentationCallback ?
2023-8-26 18:12
0
黑洛
雪    币: 6124
活跃值: (4646)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
私信
6
etw不太可能,他现在还是有注入dll的,至于楼上说的syscall还能监控到这点我倒是没关注过,有兴趣可以写个demo试一下
2023-8-27 03:35
0
咖啡_741298
雪    币: 6
活跃值: (3290)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
黑洛 etw不太可能,他现在还是有注入dll的,至于楼上说的syscall还能监控到这点我倒是没关注过,有兴趣可以写个demo试一下
文件 注册表 进程 线程 的监控,不是注册obj callback 就能监控了吗?
2023-8-27 17:09
0
黑洛
雪    币: 6124
活跃值: (4646)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
私信
8
咖啡_741298 文件 注册表 进程 线程 的监控,不是注册obj callback 就能监控了吗?
没印象了
2023-8-28 07:56
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//