AV-C 企业安全测试2025（3-6月）

显示全部楼层 · 发表于 2025-7-24 17:17:55

pal家族发表于 2025-7-24 17:00
卡巴似乎不能检测Syscall吧。。

卡巴应该是有用栈回溯技术，一些免杀测试文章有提到这一点，但是不确定是不是真的有用这个技术。任何用栈回溯技术的杀软都能检测syscall。

显示全部楼层 · 发表于 2025-7-24 17:26:21

00006666 发表于 2025-7-24 17:17
卡巴应该是有用栈回溯技术，一些免杀测试文章有提到这一点，但是不确定是不是真的有用这个技术。任何用栈 ...

要是有大佬可以针对性测试就好了

显示全部楼层 · 发表于 2025-7-24 17:43:23

本帖最后由 00006666 于 2025-7-24 18:42 编辑

pal家族发表于 2025-7-24 17:26
要是有大佬可以针对性测试就好了

栈回溯也不是唯一的检测方法，还有一种是检测syscall stub 中引入的硬编码，但是一般EDR都是用栈回溯，因为这种技术不只是可以检测syscall，还可以检测别的攻击。

简单来说，syscall 是一种绕过 EDR 用户态 hook 的方式，它通过获取系统调用号，并构造 syscall stub 的汇编指令直接进入内核态 API 调用，从而避免了用户态 hook 的检测。在使用这种技术时，也不可避免地引入了一些新的检测特征，如 syscall stub 中引入的硬编码以及基于栈回溯的 syscall 的调用方的检测等等，不同的 syscall 项目也提供了针对这类检测的不同绕过方式。

复制代码

[分享] AV-C 企业安全测试2025（3-6月）