One Article Review
| Source |  AliceCliment-Pommeret |
|---|---|
| Identifiant | 8383855 |
| Date de publication | 2022-05-27 11:33:26 (vue: 2023-09-15 20:25:05) |
| Titre | Bypass EDR: comment et pourquoi décrocher le tableau d'adresse d'importation EDR Bypass : How and Why to Unhook the Import Address Table |
| Texte | Un jour, j'essayais de contourner un EDR et j'ai remarqué quelque chose d'intéressant.
L'EDR que j'essayais de contourner n'a pas accroché la DLL dans leur code avec des instructions JMP comme les autres EDR dans User-Land.
Dans ce cas, il accrochait directement le tableau d'adresse d'importation.Cette technique fait le déplacement habituel comme le mise en direct ou l'effacement de la DLL chargée avec une fraîchement chargée de disque inutile.
J'ai dû décrocher le tableau d'adresse d'importation de mon processus.
One day, I was trying to bypass an EDR and I noticed something interesting. The EDR I was trying to bypass wasn’t hooking the DLL in their code with jmp instruction like other EDRs in user-land. In this case, it was hooking directly the Import Address Table. This technique makes the usual move like live-patching, or erasing the loaded DLL with one freshly loaded from disk useless. I had to unhook the Import Address Table of my process. |
| Envoyé | Oui |
| Condensat | address bypass case code day directly disk dll edr edrs erasing freshly from had hooking how import instruction interesting jmp land like live loaded makes move noticed one other patching process something table technique trying unhook useless user usual wasn’t why |
| Tags | Technical |
| Stories | |
| Notes | ★★★★ |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.