Skip to content

Latest commit

 

History

History

EDRHunt

Folders and files

NameName
Last commit message
Last commit date

parent directory

..
 
 
 
 

EDRHunt代码分析

本文将从代码层面深入分析EDRHunt项目。EDRHunt是FourCoreLabs团队开发的一款扫描Windows系统上安装了那些杀毒软件的程序。可以通过Windows 服务、驱动程序、进程、注册表、wmi 查找已安装的杀毒。

本文创建于2022年12月24日,最近的一次更新时间为2022年12月24日。

01-项目结构

├─cmd
│  └─EDRHunt
│          main.go
│          
└─pkg
    ├─edrRecon
    │      collect.go
    │      directory.go
    │      drivers_windows.go
    │      edrdata.go
    │      edrRecon_test.go
    │      filechecker_windows.go
    │      privilege.go
    │      process_windows.go
    │      registry.go
    │      services_windows.go
    │      wmi_windows.go
    │      
    ├─resources
    │      edrRecon.go
    │      scan_edr.go
    │      systemdata.go
    │      
    ├─scanners
    │      scanner.go
    │      scan_bitdefender.go
    │      scan_carbonblack.go
    │      scan_checkpoint.go
    │      scan_crowdstrike.go
    │      scan_cybereason.go
    │      scan_cylance.go
    │      scan_cynet.go
    │      scan_deepinstinct.go
    │      scan_elastic.go
    │      scan_eset.go
    │      scan_fireeye.go
    │      scan_fortinet.go
    │      scan_kaspersky.go
    │      scan_limacharlie.go
    │      scan_malwarebytes.go
    │      scan_mcafee.go
    │      scan_qualys.go
    │      scan_sentinelone.go
    │      scan_sophos.go
    │      scan_symantec.go
    │      scan_trendmicro.go
    │      scan_win_defender.go
    │      
    └─util
        │  util.go
        │  
        └─wmi
                wmi.go

02-官方包库

03-第三方库

04-开发设计

本部分尽可能的列举出EDRHunt开发中的一些设计模式、使用到的Go语言技术等。

  • 数据类型
  • 函数方法
  • 并发协程

项目亮点:

05-不足之处

  • 杀毒软件支持的较少
  • 不支持卸载杀毒软件

06-二开计划