Post #1425

该文章围绕Windows EDR系统调用挂钩技术与“幽灵狩猎”理论展开，介绍了EDR系统的基础组件、系统调用挂钩原理，详细阐述“幽灵狩猎”理论的实现方法、优缺点及应用场景，并规划了后续研究方向。 1. EDR系统基础组件：Sanctum EDR已搭建起基础架构，涵盖驱动与IOCTL、进程句柄及创建拦截、驱动控制、向新进程注入DLL、用户模式引擎进程监控、驱动与用户模式引擎通信、GUI和日志记录功能。 2. 系统调用挂钩原理：用户模式操作需经接口库调用系统服务号（SSN）与内核交互，恶意软件常直接调用系统调用绕过EDR检测。EDR可在用户模式挂钩相关函数，如通过改写 ZwOpenProcess 等函数指令，跳转到注入的DLL来检查参数等信息，并借助IPC与用户模式引擎、驱动通信。 3. “幽灵狩猎”理论：这是一种实验性技术，旨在对抗恶意软件利用SysWhispers、Hells Gate等手段躲避EDR挂钩。以挂钩 OpenProcess 为例，在新进程启动时注入EDR的DLL，改写系统调用存根跳转到挂钩接收函数，检查参数并与引擎通信。若内核在系统调用前已发出句柄，则判定存在系统调用逃避行为，可选择终止进程。但该方法存在需挂钩多个函数、跟踪句柄创建困难等缺点，相比 OpenProcess ，在 CreateRemoteThread API上应用该技术问题较少 。 4. 后续研究方向：下一步先实现系统调用挂钩，完成基本POC后创建内部工具简化函数挂钩流程，待挂钩正常工作后深入研究“幽灵狩猎”技术。 https://fluxsec.red/edr-syscall-hooking