绕过EDR和360的最新免杀Payload工具包

介绍：

Freeze.rs 是一个用于绕过 EDR 的有效负载工具包，采用 Rust 编写，利用挂起的进程和系统调用直接执行 shellcode，以秘密的方式绕过安全控制。该工具包利用多种技术删除 Userland EDR 挂钩，并以绕过其他端点监控控制的方式执行 shellcode。

创建挂起的进程： 在创建进程时，Ntdll.dll 是首个加载的 DLL，这意味着在加载任何 EDR DLL 之前存在一定延迟。通过创建挂起状态的进程，即冻结的进程，我们可以确保除了 Ntdll.dll 外没有加载其他 DLL，也没有加载 EDR DLL，从而保证系统调用未被修改。

地址空间布局随机化 (ASLR)： ASLR 是一种防止堆栈内存损坏漏洞的安全机制，通过随机化进程内部的地址空间来确保内存映射对象、堆栈、堆和可执行程序本身的唯一性。由于 DLL 的地址在每次启动时都是相同的，我们可以从自身进程中提取信息，而不必枚举挂起的进程来查找地址。

ETW 修补： ETW 利用内置的系统调用生成遥测，为了防止 ETW，Freeze.rs 修补了多个 ETW syscall，清空寄存器并将执行流返回到下一条指令。修补 ETW 现在是所有加载器的默认设置。

外壳代码： 只恢复 Ntdll.dll，因此执行 shellcode 的所有后续调用需要驻留在 Ntdll.dll 中。使用 Rust 的 NTAPI Crate，可以定义和调用分配、写入和保护 shellcode 所需的 NT 系统调用，有效地跳过位于 Kernel32.dll 和 Kernelbase.dll 中的标准调用。

结果：

通过以上方法，Freeze.rs 可以绕过 EDR 和其他安全控制，执行 shellcode，保护用户免受攻击。

项目地址： https://github.com/optiv/Freeze.rs