杀软和EDR常用的R3钩子(ntdll hook)的原理介绍

tdsskiller

神龟Turmi 发表于 2025-7-29 16:13
更怕游戏反作弊（
我都在想会不会有什么黑产投递Battleye来致盲EDR

国内早就这么干了，360虚拟化被wegame腐乳

神龟Turmi

tdsskiller 发表于 2025-8-6 01:30
国内早就这么干了，360虚拟化被wegame腐乳

ACE（腾讯）和NEAC（网易）至少趋势的umhook还是能挂的上去的
目前只有Battleye明确给拦了 还有EA的javelin不知道是故意的还是无意的会给EDR事件搞断链
其他反作弊都可以正常用EDR看到行为

tdsskiller

神龟Turmi 发表于 2025-8-6 13:48
ACE（腾讯）和NEAC（网易）至少趋势的umhook还是能挂的上去的
目前只有Battleye明确给拦了 还有EA的jave ...

应该还是大手子的锅，把所有常用杀软监控驱动或者hook用来作弊，uc上就有人把卡巴全部的钩子回调等等做了统计

骚猪

神龟Turmi 发表于 2025-7-29 16:13
更怕游戏反作弊（
我都在想会不会有什么黑产投递Battleye来致盲EDR

趋势这么拉垮吗？我这边看HMPA和冰盾都能挂上啊

神龟Turmi

骚猪 发表于 2025-8-6 18:21
趋势这么拉垮吗？我这边看HMPA和冰盾都能挂上啊

趋势的主防没被拦啊 拦的是EDR的UmSnsr（User Mode Sensor）
HMPA和冰盾都不是EDR 没有可比性吧

骚猪

神龟Turmi 发表于 2025-8-6 19:15
趋势的主防没被拦啊 拦的是EDR的UmSnsr（User Mode Sensor）
HMPA和冰盾都不是EDR 没有可比性吧

为啥要单独拦截EDR//

神龟Turmi

骚猪 发表于 2025-8-6 22:23
为啥要单独拦截EDR//

估计是不想让用户看到反作弊干了什么吧 非常精准的只干EDR不干主防 明明都是一样的数字签名

隔山打空气

神龟Turmi 发表于 2025-8-6 19:15
趋势的主防没被拦啊 拦的是EDR的UmSnsr（User Mode Sensor）
HMPA和冰盾都不是EDR 没有可比性吧

tmmon.dll和TmUmEvt.dll应该也是给主防提供数据的三环钩

但冰盾都加白了 趋势能不加白也是神人了 谁知道他们那怎么搞的

love丶回忆

所以说。。现在的端到端其实还是又被绕过的可能的

hakuhaku

R3 inline hook在国内环境很容易出兼容性问题，edr agent运行的环境非常恶劣的，你永远不知道客户的机器上有什么东西