此篇文章聚焦在 men.exe 如何繞過 EDR 機制，利用內嵌壓縮檔的解密解壓、BYOVD 以及惡意驅動永久移除端點防護，並使用 DACL 提高持久性與蒐證難度。攻擊者透過分段投放與延後解密，把最敏感的載入器與驅動留到端點防護失效後才釋出，同時串接提權與 AVK，確保下一階段的核心主程式能在幾乎沒有監控阻力的狀態下落地與執行。

本篇文章已投稿至 Medium，請由以下連結觀看全文

全文連結:Medium

這一篇文章的內容其實是我在分析過程中認為最好玩的部分。在過去的惡意程式分析中，大多只會在一個階段中進行防毒規避，而這個樣本將防毒規避與持久化、Rootkit 等技術結合在一起，形成完整的攻擊流程。

在分析完後，開始有興趣去研究驅動程式的利用手法，發現這個 ioctlance 專案挺有趣的，希望未來能發現一些驅動漏洞 XD

花蓮貓貓