• XSS.stack #1 – первый литературный журнал от юзеров форума

AV\EDR CrowdStrike

Отслеживать
Пожалуйста, обратите внимание, что пользователь заблокирован
Guest сказал(а):
Здравствуйте, если вы имели в виду « CrowdStrike », вы можете проверить https://xss.pro/forums/104/ или, может быть, https://github.com/BlackSnufkin/GhostDriver .
Какие есть еще варианты? Я убиваю процесс антивируса но он все равно заново запускается
 
SlowMan сказал(а):
Какие есть еще варианты? Я убиваю процесс антивируса но он все равно заново запускается
Преднамеренно вызови ошибку, если можешь редактировать память, или заморозь его.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
MoilerRenoiler сказал(а):
Преднамеренно вызови ошибку, если можешь редактировать память, или заморозь его.
Можешь рассказать подробнее как это сделать? Я в процессе обучения
 
SlowMan сказал(а):
Можешь рассказать подробнее как это сделать? Я в процессе обучения
Ну смотри, Suspend это заморозка, дальше думаю поймель, преднамеренно вызвать ошибку можно допустим инжектнув в процесс твоего авера кусок хлама, или подчистить память, допустим с rw на no_access.


Как вариант убить explorer.exe и запустить в нем твою нагрузку.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
MoilerRenoiler сказал(а):
Ну смотри, Suspend это заморозка, дальше думаю поймель, преднамеренно вызвать ошибку можно допустим инжектнув в процесс твоего авера кусок хлама, или подчистить память, допустим с rw на no_access.


Как вариант убить explorer.exe и запустить в нем твою нагрузку.
Через процесс хакер это делать? Если да то его тоже удаляет
 
SlowMan сказал(а):
Через процесс хакер это делать? Если да то его тоже удаляет
Обьяснил же на плюсах код или какой нибудь скрипт с обфускацией(.ps,.js, .bat и там твои действия допустим с обходом превилигий или elevateом до админ прав. На гите все есть.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
MoilerRenoiler сказал(а):
Обьяснил же на плюсах код или какой нибудь скрипт с обфускацией(.ps,.js, .bat и там твои действия допустим с обходом превилигий или elevateом до админ прав. На гите все есть.
У меня доступ DA
Можно пожалуйста подробную инструкцию как осуществить обход CrowdStrike?
 
SlowMan сказал(а):
У меня доступ DA
Можно пожалуйста подробную инструкцию как осуществить обход CrowdStrike?
На гите ищи Av Killer, Crowd Strike killer, каждое компиль тести. У меня пока пк не под рукой, только телефон, можешь тот же рансом закинуть чтобы офнуть(только потом кильни сразу, файлы шифрует потому что).
 
Guest сказал(а):
If there are any left-over services running from the edr that are preventing you from deleting the files, you can use this https://github.com/AxtMueller/Windows-Kernel-Explorer/blob/master/binaries/WKE64.exe to kill the services, then just delete all the files.
В большинстве случаев сервер после удаления служб и процессов авера такими тулзами падает без ребута. Особенно если антивирус мониторит сеть, аля нетворк секьюрити каспера. Поэтому на свой страх и риск
 
Eleven сказал(а):
В большинстве случаев сервер после удаления служб и процессов авера такими тулзами падает без ребута. Особенно если антивирус мониторит сеть, аля нетворк секьюрити каспера. Поэтому на свой страх и риск
I've never encountered such an issue when utilizing Killer + WKE to kill/remove EDR.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Guest сказал(а):
Я никогда не сталкивался с такой проблемой при использовании Killer + WKE для уничтожения/удаления EDR.
Что такое WKE?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Eleven сказал(а):
Crowd Strike такие тулзы даже запустить не даст) Прекращай
Как тогда быть? Он ничего запустить не дает!
 
Eleven сказал(а):
Crowd Strike такие тулзы даже запустить не даст) Прекращай
I'm assuming you have no experience which is clerley visable. I stated Killer + WKE, killer to kill the EDR and WKE just in case there are some leftover services or processes the killer did not kill.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх