HookChain: A new perspective for Bypassing EDR Solutions

在当前数字安全生态系统中，威胁快速且复杂地演变，开发端点检测和响应（EDR）解决方案的公司不断寻找创新，不仅跟上步伐，而且预测新兴攻击向量。在这种情况下，本文介绍了HookChain，从另一个角度看待广为人知的技术，将它们结合起来，提供一层复杂的逃避传统EDR系统的保护。通过精确的IAT Hooking技术、动态SSN解析和间接系统调用的组合，HookChain以一种不需要更改应用程序和恶意软件源代码的方式，重定向Windows子系统的执行流，从而保持对EDR的隐身。这项工作不仅挑战了当前的网络安全惯例，而且为未来的保护策略铺平了一条有希望的道路，利用了持续演变对数字安全有效性的关键认识。通过开发和探索HookChain技术，这项研究在端点安全的知识体系中做出了重大贡献，促进了开发更加强大和自适应的解决方案，能够有效地应对数字威胁的不断变化。这项工作旨在激发对安全技术研究和开发的深入思考和进步，使其始终领先于对手。 研究正在进行中：本文不是最终版本，目前正在针对多个EDR进行最终测试。我们预计将在2024年8月发布最终版本。

HookChain: 一种新的绕过Endpoint Detection and Response系统的技术。

HookChain通过IAT Hooking技术、动态SSN解析和间接系统调用的精确组合，将Windows子系统的执行流重定向，从而绕过传统的EDR系统的检测。

该论文挑战了当前网络安全领域的传统观念，提出了一种新的绕过EDR系统的技术。实验设计了多种测试用例，并计划在2024年8月发布最终版本。

在这个领域中，最近的相关研究还有：1. "Evasion Attacks Against Machine Learning at Test Time"；2. "Adversarial Examples: Attacks and Defenses for Deep Learning"；3. "Practical Evasion of a Learning-Based Classifier: A Case Study"。