Давно забросил тему АВ, но вчера случайно столкнулся с EDR Sentinel One 24.1.2.188,
(правда ставил я ее на Windows Server 2025, но думаю везде так).
Обнаружилась очередная тупая фишка этого АВ в таблицах загрузчика.
Видимо это сделано для противодействия поиску баз по именам и хешам имен библиотек.
Остается догадываться, почему их больной мозг не догадался пропатчить в PEB имена всех системных библиотек.
Код: Скопировать в буфер обмена
Я как то раньше не замечал этого если оно так и было, т.к. не использую имена либ. для поиска баз.
Т.е. ntdll kernel32 по их мнению это чрезвычайно опасные либы, а то никто не знает что системный загрузчик их помещает постоянно и поочередно exe, ntddl, kernel32.dll и базы к ним легко находятся по их порядку.
(правда ставил я ее на Windows Server 2025, но думаю везде так).
Обнаружилась очередная тупая фишка этого АВ в таблицах загрузчика.
Видимо это сделано для противодействия поиску баз по именам и хешам имен библиотек.
Остается догадываться, почему их больной мозг не догадался пропатчить в PEB имена всех системных библиотек.
Код: Скопировать в буфер обмена
Code:
PLDR_DATA_TABLE_ENTRY -> InMemoryOrderLinks:
xxxxx.exe
ntd1l.dll - [real library with fake name]
kern3l32.dll - [real library with fake name]
ntdll.dll - [fake library with real name]
KERNEL32.DLL - [fake library with real name]
Т.е. ntdll kernel32 по их мнению это чрезвычайно опасные либы, а то никто не знает что системный загрузчик их помещает постоянно и поочередно exe, ntddl, kernel32.dll и базы к ним легко находятся по их порядку.