👾 S.E.Заметка. EDRHunt и методы обхода AV.
🖖🏻 Приветствую тебя user_name.
• EDRHunt — тулза которая сканирует и идентифицирует установленные EDR и AV на хостах с #Windows, путем анализа служб, драйверов, запущенных процессов и ключей реестра. Сканирование системы в поисках информации, выполняются с помощью WMI-запросов через COM и собственные API для перечисления установленных драйверов. Обнаружение EDR на данный момент доступно:
• Windows Defender;
• Kaspersky Security;
• Symantec Security;
• Crowdstrike Security;
• McAfee Security;
• Cylance Security;
• Carbon Black;
• SentinelOne;
• FireEye;
• Elastic EDR.
• Более подробное описание есть в статье от разработчика: www.fourcore.vision/blogs/R…ofit-cUf
• Репозиторий: https://github.com/FourCoreLabs/EDRHunt
📌 В дополнение:
• Тулза, автоматизирующая работу с mpcmdrun.exe (Windows Defender), разбивает файл на куски и скармливает дефендеру для выявления конкретного куска, который палится (по статическим сигнатурам): https://github.com/t3hbb/DefenderCheck/. Ссылку нашел у @OrderOfSixAngles.
• Antivirus Bypass Techniques || Методы для обхода AV. Антивирус — крайне полезная штука, но только не тогда, когда тебе нужно остаться незамеченным в атакуемой сети. По ссылке ниже, сможешь найти крутую и свежую книгу, которая описывает различные методы обхода антивирусов: https://t.me/hlfiles/856
‼️ Полезно для #Red_Team и #Blue_team. Твой itle="Social Engineering" href="/channels/@Social_engineering">S.E. #Заметка
