Ejecuta cualquier Skill en Manus
con un clic

Ejecuta cualquier Skill en Manus con un clic

$pwd:

edr-bypass-re

Name: Edr Bypass Re
Author: zhaoxuya520

// 逆向防御方实现 → 红队针对性绕过。把 EDR / Defender / AV 的 hook 表、ETW provider、AMSI 实现先逆向出来，再写针对性的 unhook / 间接 syscall / ETW patch / call stack spoof。对照 MITRE ATT&CK T1562 防御规避。触发关键词：EDR 绕过、AV bypass、免杀、unhook、direct syscall、indirect syscall、Hell's Gate、Halo's Gate、 Tartarus Gate、ETW patch、AMSI patch、call stack spoofing、hardware breakpoint Blindside、MITRE T1562、 ntdll unhook、kernel callback、CrowdStrike 绕过、Defender 绕过、Sentinel One 绕过、Elastic Defend、 Sysmon 规避、PPID spoof、Sleep mask、Process Hollowing、Reflective DLL。

Ejecutar en Manus

$ git log --oneline --stat

stars:427

forks:90

updated:25 de mayo de 2026, 15:05

Explorador de archivos

4 archivos

SKILL.md

readonly

name

edr-bypass-re

description

逆向防御方实现 → 红队针对性绕过。把 EDR / Defender / AV 的 hook 表、ETW provider、AMSI 实现先逆向出来，再写针对性的 unhook / 间接 syscall / ETW patch / call stack spoof。对照 MITRE ATT&CK T1562 防御规避。触发关键词：EDR 绕过、AV bypass、免杀、unhook、direct syscall、indirect syscall、Hell's Gate、Halo's Gate、 Tartarus Gate、ETW patch、AMSI patch、call stack spoofing、hardware breakpoint Blindside、MITRE T1562、 ntdll unhook、kernel callback、CrowdStrike 绕过、Defender 绕过、Sentinel One 绕过、Elastic Defend、 Sysmon 规避、PPID spoof、Sleep mask、Process Hollowing、Reflective DLL。

EDR 绕过：从防御方实现逆向到红队绕过

仅限授权红队 / 对抗演练 / 自有产品测试，禁止用于未授权目标。

适用范围

红队 / 对抗模拟在已获授权的目标主机投递 implant 并躲避现代 EDR 时使用本 skill。

红队 / Purple team / 对抗演练 — 客户希望评估 SOC 与 EDR 的真实检测能力
自研 implant / C2 框架研发 — 开发针对自家产品测试的载荷，需要绕过自家或目标 EDR
EDR 产品评估 — 在合规边界已确认的前提下，客观评测某款 EDR 的检测覆盖
CTF / 攻防演练的 Windows 端突破 — 比赛中需要在加固主机上稳定执行

不适用场景：

杀毒厂商对自家产品做完整 RE 给客户出商业评估报告（找厂商正式合作）
未授权目标的免杀对抗（违法）
普通病毒木马的免杀（本 skill 关注红队 OPSEC，不教恶意代码写法）

与其他 skill 的分工

场景	用什么
全链路攻防（从外网打到域控）	`attack-chain/`
内网横向 / AD 攻击	`pentest-tools/network-attack-defense.md`
在某个特定主机上要过 EDR 投递 implant	本 skill
单纯静态免杀（混淆 / 加壳）	`malware-analysis/`（反向视角）

attack-chain 关注完整 kill chain，本 skill 只聚焦 EDR 这一个对手 的内部机制和针对性绕法。

核心原理

EDR 的四个主要监控面               红队的对策
─────────────────────              ─────────────────────
用户态 ntdll hook       ◄──►   unhook (Peruns Fart / fresh ntdll)
                                  间接 syscall / Hell's Gate
                                  hardware breakpoint Blindside

kernel callback         ◄──►   call stack spoof
(Ps/Cm/Ob 系列)                   走合法触发链（不直接绕，配合上游隐身）

ETW telemetry           ◄──►   EtwEventWrite patch
(Microsoft-Windows-Threat-          NtTraceControl 关 provider
 Intelligence 等)                  AmsiContext 同步处理

AMSI 扫描               ◄──►   AmsiScanBuffer patch (mov eax,0x80070057; ret)
(amsi.dll)                       hardware breakpoint 旁路
                                  reflective 加载副本 amsi.dll

关键认知：

EDR 不是黑盒 — 关键 hook / callback / provider 都能用 IDA + windbg 逆出来
绕过技术要组合使用 — 单独一个 unhook 解决不了 ETW 告警，单独 AMSI patch 解决不了 syscall hook
顺序很重要 — 先 ETW patch → 再 AMSI patch → 再 unhook；顺序错了 EDR 先收到 unhook 告警
现代 EDR 已经把 ETW + kernel callback 当主战场，单纯用户态 unhook 早已不够

工作流

Step 1：识别目标主机的 EDR

# 列出常见 EDR / AV 驱动
Get-Service | Where-Object {$_.Name -match 'CSAgent|SentinelAgent|elasticendpoint|esets|ekrn|MsMpEng|wdsvc|cyserver|sysmon|aswbidsagent'}

# 列出加载的 minifilter
fltmc filters

# 列出已注册的内核 callback（需 windbg + 内核调试 / 或用 PChunter / DRVHV）
# !object \Callback
# !pnpcallback / Process / Thread / Image

EDR 指纹表见 references/hook-survey.md 顶部。

Step 2：从 EDR DLL 提 hook 表

attach 到一个被注入 EDR 用户态组件的进程（任何已落地进程）
在 windbg 中 dump 当前 ntdll.dll 的 .text 段
与磁盘上干净的 C:\Windows\System32\ntdll.dll 做 diff
不一致的地方就是 hook 点

或者直接用 pe-sieve：

pe-sieve64.exe /pid 1234 /shellc 3 /modules 3 /dir hooks_dump

详细方法见 references/hook-survey.md。

Step 3：选绕过技术组合

防御点	推荐绕法
ntdll inline hook	indirect syscall + 动态 SSN (Halo's Gate)
ETW-TI provider	EtwEventWrite head patch
AMSI（PowerShell / .NET）	AmsiScanBuffer patch 或 HWBP
kernel callback	call stack spoof + 走 legit gadget
Sysmon ProcessCreate	PPID spoof + unbacked memory

Step 4：在 implant 中实现

代码骨架见 references/unhook-techniques.md 与 references/telemetry-blinding.md。

Step 5：本地 sandbox 验证

# 在隔离环境部署目标 EDR 试用版（Defender 默认即可起步）
# 启用 Sysmon + olaf-config
sysmon64.exe -i sysmonconfig.xml

# 跑 implant，看是否触发以下告警源：
#   - Defender AMSI
#   - ETW-TI
#   - Sysmon Event ID 1/7/8/10
#   - EDR 控制台

Step 6：投递

文件落地路径用合法软件目录
PPID spoof 到 explorer.exe
配合 attack-chain 中的 initial access 节

典型场景

场景 1：投递 cobalt-strike-alike beacon 过 Defender + Sysmon

目标：Windows 11 Enterprise + Defender (云查杀开) + Sysmon (olaf 配置)
要求：beacon 落地后能 callback 且不触发任何告警

组合拳：
  1. shellcode 加密存储，运行时解密
  2. AMSI patch（如果走 PowerShell 投递）
  3. EtwEventWrite patch（消 ETW-TI）
  4. 间接 syscall + Halo's Gate（消 ntdll hook 告警）
  5. PPID spoof 到 explorer.exe
  6. sleep 阶段用 Ekko / Foliage 加密自身内存

场景 2：在已落地的低权限 shell 上做 EDR sleep mask

前置：已经通过 phishing 拿到 medium IL shell，EDR 正在监控
风险：长时间驻留容易被内存扫描发现 beacon 特征

解法：
  1. 不再申请新 RWX 内存
  2. sleep 期间用 Ekko：
       - WaitForSingleObjectEx + CreateTimerQueueTimer
       - 在定时器里加密自身 .text + 把堆栈刷成全 0
  3. wake 时用 ROP 还原
  4. 配合 call stack spoof 让 RtlCaptureStackBackTrace 看不到信标地址

按需自举（On-Demand Bootstrap）

工具依赖

工具	用途	可自动安装
pe-sieve	检测进程中的 hook / 注入	✓
API Monitor v2	动态观察 API 调用与 hook	半自动（手动下载）
SysWhispers3	生成直接 / 间接 syscall stub	✓（git clone + python）
Hell's Gate POC	动态 SSN 解析参考实现	✓（git clone）
windbg + IDA	静态逆 EDR DLL / 内核 callback	✗（自己装）
Sysmon + olaf config	本地验证环境	✓

自举命令

powershell -NoProfile -ExecutionPolicy Bypass -File "&lt;SKILL_ROOT&gt;\skills\scripts\bootstrap-reverse.ps1" -Capability @('pe-sieve','syswhispers3','sysmon') -StartServices

路由上下文

上游入口：

reverse-engineering/ — 需要先理解 EDR DLL / 驱动的实现
attack-chain/ — 决定在 kill chain 的哪个阶段引入本 skill

同级关联：

pentest-tools/network-attack-defense.md — 内网横向时如何与本 skill 联动
malware-analysis/ — 反向视角，看检测方怎么写规则
field-journal/ — 每次实战后回写经验

下游交付：

生成报告时引用 MITRE ATT&CK T1562 (Impair Defenses)、T1562.001 (Disable or Modify Tools)、T1562.006 (Indicator Blocking)、T1055 (Process Injection)、T1027 (Obfuscated Files or Information)

法律边界声明

仅限合法授权的红队 / 对抗演练 / 自有产品测试
操作前必须取得书面授权（SoW / 测试合同 / SRC 范围说明）
不得用于未授权目标，不得超出授权范围
发现高危问题立即向客户报告，遵循负责任披露
所有报告中真实目标信息必须脱敏（IP / 主机名 / 域名 / 凭证占位）

参考资料

详细 hook 调研：references/hook-survey.md
unhook / syscall 技术：references/unhook-techniques.md
ETW / AMSI / 反取证：references/telemetry-blinding.md
MITRE ATT&CK T1562：https://attack.mitre.org/techniques/T1562/

related-skills.json

mismo repositorio

pentest-tools.md

from "zhaoxuya520/reverse-skill-private"

主动渗透测试工具链。覆盖信息收集、端口扫描、漏洞扫描、Web 渗透、SQL 注入、目录爆破、密码破解等场景。通过 MCP server（pentestMCP / mcp-security-hub）将 20+ 安全工具暴露给 AI agent。触发关键词：渗透测试、端口扫描、Nmap、漏洞扫描、Nuclei、SQL 注入、SQLMap、目录爆破、FFUF、密码破解、Hashcat、信息收集、子域名、Web 渗透、ZAP、Burp。

2026-05-26427

reverse-engineering.md

from "zhaoxuya520/reverse-skill-private"

Provides reverse engineering techniques. Use when the main job is to understand how a compiled, obfuscated, packed, or virtualized target works before exploiting or solving it, including binaries, APKs, WASM, firmware, custom VMs, bytecode, malware-like loaders, and anti-debug or anti-analysis logic. Do not use it when the vulnerability is already understood and the remaining task is exploitation; use pwn instead. Do not use it for pure web workflows, log or disk forensics, or standalone crypto problems unless reversing the implementation is the real blocker.

2026-05-25427

firmware-pentest.md

from "zhaoxuya520/reverse-skill-private"

固件 / IoT 渗透链。从拿到一坨 .bin / .img 开始，闭环走完逆向 → 提取 → 模拟 → 利用。方法论遵循 OWASP FSTM 九阶段；工具链以 binwalk v3、unblob、EMBA、Firmadyne、AFL++ 为主。适用场景：路由器/摄像头/智能家居固件审计、固件升级包逆向、IoT CVE 复现、嵌入式 0day 挖掘。触发关键词：固件、firmware、IoT、binwalk、unblob、UART、JTAG、squashfs、UBI、JFFS2、Firmadyne、QEMU 全系统仿真、EMBA、固件渗透、路由器固件、嵌入式漏洞利用、bootloader、NVRAM、FAT、firmware analysis toolkit。

2026-05-25427

ida-reverse.md

from "zhaoxuya520/reverse-skill-private"

IDA Pro 逆向分析辅助技能。当用户提到逆向、反编译、分析二进制/PE/ELF/APK/DLL/SO、破解、找密码、漏洞分析、病毒分析、firmware 固件分析，或需要分析 exe/dll/so/elf/macho/sys 等文件时，务必使用此技能。 Ensure to use this skill when the user wants to analyze any binary file, regardless of whether they explicitly mention "IDA" or "reverse engineering". This includes requests like "看看这个exe", "分析这个dll", "帮我破解", "找一下密码", "这个软件怎么注册", etc. Use the bundled scripts (scripts/start.ps1, scripts/open.ps1) for deterministic server management and file opening — do NOT write ad-hoc PowerShell commands for these operations.

2026-05-25427

patch-diff-exploit.md

from "zhaoxuya520/reverse-skill-private"

N-day 补丁差分到利用。从厂商发布的补丁里反推漏洞点、写 PoC、做成可用的攻击模块。适用场景：已知 CVE 编号但只有补丁没有 PoC、SRC/红队需要打击未及时更新的资产、N-day 武器化、Patch Tuesday 跟进。核心方法：拿 before/after 二进制 → 对齐符号 → 二进制 diff → 看新增的安全检查反推 bug class → 写 PoC 触发漏洞。触发关键词：N-day、Nday、补丁差分、patch diff、patch tuesday、1day、binary diff 漏洞、bindiff 利用、ghidriff、Diaphora、补丁分析、CVE 复现、漏洞还原、补丁反推、N-day 武器化。

2026-05-25427

pwn-chain.md

from "zhaoxuya520/reverse-skill-private"

从逆向走到可用利用 (Working Exploit) 的全链路工程化方法。适用场景：拿到了二进制 + 漏洞点 + 目标环境，需要写出一个能稳定打通的 exploit（不是只能本地复现一下、远程一打就崩的脚本）。覆盖三大方向：栈溢出 / 堆利用 / 内核 pwn。强调"CTF 本地通 → 真实远程稳定打通"的工程差距：libc 版本错配、堆喷射时序、SMEP/SMAP/KASLR、栈对齐、远程缓冲。核心工具链：pwntools + GEF/pwndbg + ROPgadget/Ropper + one_gadget + libc-database + qemu-system 内核调试。触发关键词：pwn、栈溢出、堆溢出、ROP、ret2libc、ret2csu、one_gadget、libc-database、堆利用、tcache、fastbin、unsorted bin、kernel pwn、kROP、SMEP、SMAP、KASLR、modprobe_path、pwntools、GEF、pwndbg。

2026-05-25427

package.json

"author": "zhaoxuya520"

"repository": "zhaoxuya520/reverse-skill-private"

Abrir repositorio de GitHub Ver repositorios del creador

$ install --global

$ download --local

Ejecutar en Manus

$ useful --forSOC

Analistas de seguridad de la informaciónOcupaciones informáticas y matemáticas15-1212L4

name

edr-bypass-re

description

EDR 绕过：从防御方实现逆向到红队绕过

仅限授权红队 / 对抗演练 / 自有产品测试，禁止用于未授权目标。

适用范围

红队 / 对抗模拟在已获授权的目标主机投递 implant 并躲避现代 EDR 时使用本 skill。

红队 / Purple team / 对抗演练 — 客户希望评估 SOC 与 EDR 的真实检测能力
自研 implant / C2 框架研发 — 开发针对自家产品测试的载荷，需要绕过自家或目标 EDR
EDR 产品评估 — 在合规边界已确认的前提下，客观评测某款 EDR 的检测覆盖
CTF / 攻防演练的 Windows 端突破 — 比赛中需要在加固主机上稳定执行

不适用场景：

杀毒厂商对自家产品做完整 RE 给客户出商业评估报告（找厂商正式合作）
未授权目标的免杀对抗（违法）
普通病毒木马的免杀（本 skill 关注红队 OPSEC，不教恶意代码写法）

与其他 skill 的分工

场景	用什么
全链路攻防（从外网打到域控）	`attack-chain/`
内网横向 / AD 攻击	`pentest-tools/network-attack-defense.md`
在某个特定主机上要过 EDR 投递 implant	本 skill
单纯静态免杀（混淆 / 加壳）	`malware-analysis/`（反向视角）

attack-chain 关注完整 kill chain，本 skill 只聚焦 EDR 这一个对手 的内部机制和针对性绕法。

核心原理

EDR 的四个主要监控面               红队的对策
─────────────────────              ─────────────────────
用户态 ntdll hook       ◄──►   unhook (Peruns Fart / fresh ntdll)
                                  间接 syscall / Hell's Gate
                                  hardware breakpoint Blindside

kernel callback         ◄──►   call stack spoof
(Ps/Cm/Ob 系列)                   走合法触发链（不直接绕，配合上游隐身）

ETW telemetry           ◄──►   EtwEventWrite patch
(Microsoft-Windows-Threat-          NtTraceControl 关 provider
 Intelligence 等)                  AmsiContext 同步处理

AMSI 扫描               ◄──►   AmsiScanBuffer patch (mov eax,0x80070057; ret)
(amsi.dll)                       hardware breakpoint 旁路
                                  reflective 加载副本 amsi.dll

关键认知：

EDR 不是黑盒 — 关键 hook / callback / provider 都能用 IDA + windbg 逆出来
绕过技术要组合使用 — 单独一个 unhook 解决不了 ETW 告警，单独 AMSI patch 解决不了 syscall hook
顺序很重要 — 先 ETW patch → 再 AMSI patch → 再 unhook；顺序错了 EDR 先收到 unhook 告警
现代 EDR 已经把 ETW + kernel callback 当主战场，单纯用户态 unhook 早已不够

工作流

Step 1：识别目标主机的 EDR

# 列出常见 EDR / AV 驱动
Get-Service | Where-Object {$_.Name -match 'CSAgent|SentinelAgent|elasticendpoint|esets|ekrn|MsMpEng|wdsvc|cyserver|sysmon|aswbidsagent'}

# 列出加载的 minifilter
fltmc filters

# 列出已注册的内核 callback（需 windbg + 内核调试 / 或用 PChunter / DRVHV）
# !object \Callback
# !pnpcallback / Process / Thread / Image

EDR 指纹表见 references/hook-survey.md 顶部。

Step 2：从 EDR DLL 提 hook 表

attach 到一个被注入 EDR 用户态组件的进程（任何已落地进程）
在 windbg 中 dump 当前 ntdll.dll 的 .text 段
与磁盘上干净的 C:\Windows\System32\ntdll.dll 做 diff
不一致的地方就是 hook 点

或者直接用 pe-sieve：

pe-sieve64.exe /pid 1234 /shellc 3 /modules 3 /dir hooks_dump

详细方法见 references/hook-survey.md。

Step 3：选绕过技术组合

防御点	推荐绕法
ntdll inline hook	indirect syscall + 动态 SSN (Halo's Gate)
ETW-TI provider	EtwEventWrite head patch
AMSI（PowerShell / .NET）	AmsiScanBuffer patch 或 HWBP
kernel callback	call stack spoof + 走 legit gadget
Sysmon ProcessCreate	PPID spoof + unbacked memory

Step 4：在 implant 中实现

代码骨架见 references/unhook-techniques.md 与 references/telemetry-blinding.md。

Step 5：本地 sandbox 验证

# 在隔离环境部署目标 EDR 试用版（Defender 默认即可起步）
# 启用 Sysmon + olaf-config
sysmon64.exe -i sysmonconfig.xml

# 跑 implant，看是否触发以下告警源：
#   - Defender AMSI
#   - ETW-TI
#   - Sysmon Event ID 1/7/8/10
#   - EDR 控制台

Step 6：投递

文件落地路径用合法软件目录
PPID spoof 到 explorer.exe
配合 attack-chain 中的 initial access 节

典型场景

场景 1：投递 cobalt-strike-alike beacon 过 Defender + Sysmon

目标：Windows 11 Enterprise + Defender (云查杀开) + Sysmon (olaf 配置)
要求：beacon 落地后能 callback 且不触发任何告警

组合拳：
  1. shellcode 加密存储，运行时解密
  2. AMSI patch（如果走 PowerShell 投递）
  3. EtwEventWrite patch（消 ETW-TI）
  4. 间接 syscall + Halo's Gate（消 ntdll hook 告警）
  5. PPID spoof 到 explorer.exe
  6. sleep 阶段用 Ekko / Foliage 加密自身内存

场景 2：在已落地的低权限 shell 上做 EDR sleep mask

前置：已经通过 phishing 拿到 medium IL shell，EDR 正在监控
风险：长时间驻留容易被内存扫描发现 beacon 特征

解法：
  1. 不再申请新 RWX 内存
  2. sleep 期间用 Ekko：
       - WaitForSingleObjectEx + CreateTimerQueueTimer
       - 在定时器里加密自身 .text + 把堆栈刷成全 0
  3. wake 时用 ROP 还原
  4. 配合 call stack spoof 让 RtlCaptureStackBackTrace 看不到信标地址

按需自举（On-Demand Bootstrap）

工具依赖

工具	用途	可自动安装
pe-sieve	检测进程中的 hook / 注入	✓
API Monitor v2	动态观察 API 调用与 hook	半自动（手动下载）
SysWhispers3	生成直接 / 间接 syscall stub	✓（git clone + python）
Hell's Gate POC	动态 SSN 解析参考实现	✓（git clone）
windbg + IDA	静态逆 EDR DLL / 内核 callback	✗（自己装）
Sysmon + olaf config	本地验证环境	✓

自举命令

powershell -NoProfile -ExecutionPolicy Bypass -File "&lt;SKILL_ROOT&gt;\skills\scripts\bootstrap-reverse.ps1" -Capability @('pe-sieve','syswhispers3','sysmon') -StartServices

路由上下文

上游入口：

reverse-engineering/ — 需要先理解 EDR DLL / 驱动的实现
attack-chain/ — 决定在 kill chain 的哪个阶段引入本 skill

同级关联：

pentest-tools/network-attack-defense.md — 内网横向时如何与本 skill 联动
malware-analysis/ — 反向视角，看检测方怎么写规则
field-journal/ — 每次实战后回写经验

下游交付：

生成报告时引用 MITRE ATT&CK T1562 (Impair Defenses)、T1562.001 (Disable or Modify Tools)、T1562.006 (Indicator Blocking)、T1055 (Process Injection)、T1027 (Obfuscated Files or Information)

法律边界声明

仅限合法授权的红队 / 对抗演练 / 自有产品测试
操作前必须取得书面授权（SoW / 测试合同 / SRC 范围说明）
不得用于未授权目标，不得超出授权范围
发现高危问题立即向客户报告，遵循负责任披露
所有报告中真实目标信息必须脱敏（IP / 主机名 / 域名 / 凭证占位）

参考资料

详细 hook 调研：references/hook-survey.md
unhook / syscall 技术：references/unhook-techniques.md
ETW / AMSI / 反取证：references/telemetry-blinding.md
MITRE ATT&CK T1562：https://attack.mitre.org/techniques/T1562/

edr-bypass-re

EDR 绕过：从防御方实现逆向到红队绕过

适用范围

与其他 skill 的分工

核心原理

工作流

Step 1：识别目标主机的 EDR

Step 2：从 EDR DLL 提 hook 表

Step 3：选绕过技术组合

Step 4：在 implant 中实现

Step 5：本地 sandbox 验证

Step 6：投递

典型场景

场景 1：投递 cobalt-strike-alike beacon 过 Defender + Sysmon

场景 2：在已落地的低权限 shell 上做 EDR sleep mask

按需自举（On-Demand Bootstrap）

工具依赖

自举命令

路由上下文

法律边界声明

参考资料

Más de este repositorio

EDR 绕过：从防御方实现逆向到红队绕过

适用范围

与其他 skill 的分工

核心原理

工作流

Step 1：识别目标主机的 EDR

Step 2：从 EDR DLL 提 hook 表

Step 3：选绕过技术组合

Step 4：在 implant 中实现

Step 5：本地 sandbox 验证

Step 6：投递

典型场景

场景 1：投递 cobalt-strike-alike beacon 过 Defender + Sysmon

场景 2：在已落地的低权限 shell 上做 EDR sleep mask

按需自举（On-Demand Bootstrap）

工具依赖

自举命令

路由上下文

法律边界声明

参考资料

Más de este repositorio