.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
BadexClusionsNWBO是从BadexClusions的演变,可以在AV/EDR上识别文件夹自定义或无证件排除。
它如何工作?
badexclusionsnwbo副本并在给定路径的所有文件夹和子文件夹中运行hook_checker.exe。您需要在badexclusionsnwbo.exe的同一文件夹上使用hook_checker.exe。
hook_checker.exe返回EDR钩子的数量。如果挂钩的数量为7或以下,则含义文件夹具有排除,否则不会排除文件夹。
原始想法?
自Badexclusions发布以来,我一直在考虑如何在不产生那么多噪声的情况下实现相同的结果。该解决方案来自另一个工具https://github.com/asaurusrex/probatorum-edr-userland-hook-checker。
如果您下载portotorum-edr-userland-hook-checker,并且在带有特定类型的排除类型的常规文件夹和文件夹中运行它,您会发现巨大的差异。所有信息均在认证设备存储库上。
要求
每个供应商以不同的方式应用排除。为了获取文件夹的列表,应制定特定类型的排除类型。并非所有类型的排除类型,也不是所有供应商在排除文件夹时删除钩子。
运行badexclusionsnwbo的用户需要在排除的文件夹上写入权限,以便编写hook_checker文件并获取结果。
EDR演示
https://github.com/iamagarre/badexclusionsnwbo/assets/89855208/46982975-F4A5-4894-B78D-8D-8D6ED9B1C8C4