安全研究 | 使用ScareCrow框架实现EDR绕过

ScareCrowScareCrow是一款功能强大的Payload创建框架，可以帮助广大研究人员生成用于向合法Windows金册灰姑娘中注入内容的加载器，以绕过应用程序白名单控制。当DLL加载器加载进内存中之后，将会使用一种技术来将EDR钩子从正在进程内存中运行的系统DLL中清理掉，这是因为我们知道EDR的钩子是在这些进程被生成时设置的。ScareCrow可以通过使用API函数VirtualProtect来在内存中对这些DLL进行操作，该函数可以将进程的内存权限的一部分更改为不同的值，特别是将Execute-Read修改为Read-Write-Execute。在执行过程中，ScareCrow将会复制存储在C:\Windows\System32\磁盘上的系统DLL的字节数据。这些DLL存储在EDR挂钩的“干净”磁盘上，因为系统使用它们在生成新进程时会将未更改的副本加载到新进程 ………………………………