SharpEDRChecker

Invoke-EDRChecker的新的和改进的 C# 实现。检查正在运行的进程、进程元数据、加载到当前进程中的 Dll 和每个 DLL 元数据、公共安装目录、已安装服务和每个服务二进制文件元数据、已安装驱动程序和每个驱动程序元数据,所有这些是否存在已知的防御产品,例如 AV、EDR和记录工具。通过元数据检查也可以捕获隐藏的 EDR,更多信息可以在我的博客文章中找到
可以通过加载模块然后运行它来将此二进制文件加载到您的 C2 服务器中。注意:这个二进制文件现在包含在PoshC2中,所以不需要手动添加它。
在时间允许的情况下,我将继续添加和改进列表。完整的路线图可以在下面找到。
如有任何问题或疑问,请在推特 @PwnDexter上找到我!

安装和编译

Git 克隆 repo 并在 Visual Studio 中打开解决方案,然后构建项目或从此处下载最新版本。

  1. git clone https://github.com/PwnDexter/SharpEDRChecker.git

用法

将二进制文件加载到您的主机或您选择的 C2 后,您可以使用以下命令:
针对本地主机运行二进制文件并根据当前用户完整性执行检查:

  1. .\SharpEDRChecker.exe run-exe SharpEDRChecker.Program SharpEDRChecker

在 PoshC2 中使用如下:

  1. sharpedrchecker

路线图

  • - 添加更多 EDR 产品 - 永无止境
  • - 跨更多 Windows 和 .NET 版本进行测试
  • - 增加远程主机查询能力
  • - 移植到 python 以获得 unix/macos 支持

    示例输出

    初始启动向下 C2:
    SharpEDRChecker - 图1
    流程:
    SharpEDRChecker - 图2
    您的流程中的 Modloads:
    SharpEDRChecker - 图3
    目录:
    SharpEDRChecker - 图4
    服务:
    SharpEDRChecker - 图5
    驱动程序:
    SharpEDRChecker - 图6
    TLDR 总结:
    SharpEDRChecker - 图7