![巨乳 女優 [翻译]致盲Windows上的EDR-编程期间-看雪-安全社区|安全招聘|kanxue.com](/uploads/allimg/240820/20100346010G13.jpg)
原文标题:Blinding EDR On Windows原文地址:https://synzack.github.io/Blinding-EDR-On-Windows/巨乳 女優
目次致谢我的对于EDR的会通离不开繁密优秀的安全研究东说念主员的匡助。以下是一些终点有匡助的著作和演讲,它们匡助我获取了所需的会通,并让我在行将呈现的研究中约略快速上手。如若你有酷好潜入了解,一定要稽查以下研究(无特定法例):Jackson T: A Guide to Reversing and Evading EDRsChristopher Vella:CrikeyCon 2019 - Reversing & bypassing EDRsRecent EDR & AV Observations
Matteo Malvica: Silencing the EDR. How to disable process, threads and image-loading detection callbacks
William Burgess: Red Teaming in the EDR Age
BatSec: Universally Evading Sysmon and ETW
Rui Reis (fdiskyou): Windows Kernel Ps Callbacks Experiments
Hoang Bui: Bypass EDR’s Memory Protection, Introduction to Hooking
Omri Misgav and Udi Yavo: Bypassing User-Mode Hooks
Ackroute: Sysmon Enumeration Overview
简介一般而言,波及波折行动和EDR系统时,期间不错分为以下四类:1.幸免使用这些期间
如若主机上装置了EDR,就转向莫得装置该设立的主机。 通过主机代理流量,以幸免在系统上推行号令。2.革职灰色地带的操作。
与典型的采集流量交融在一齐。这些行动可能稍稍可疑,但保执弥漫低调,需要东说念主工分析进一步了解。3.在盲点中操作
坚执那些可能不会被纪录的期间。(举例,API,移除用户态钩子,创建我方的系统调用)4.禁用/骚扰EDR传感器。
修补传感器、重定向流量、卸载等。本文将扣问那些更多属于“骚扰”类别的方法,即骚扰传感器自己的里面职责款式以过甚怎么hook系统。尽管EDR也不错装置在MacOS和Linux上,但本文仅专注于Windows系统。咱们将扣问以下主题:
Windows内核简要概括 安全设立中的内核回调 EDR的职责道理和原因 摒除EDR可见性的期间 其他道理主题的简要观点 视频游戏黑客社区 Windows rootkit(根器具包)由于EDR研究相对较新,这些主题往走动自零丁研究东说念主员对期间的个别方面的研究。我的计划是在高头绪概括中网罗部分这些研究,以加多对期间的一般会通、了解新的波折期间,并股东检测才略的发展。
话虽如斯,本文的主义并不是像一些个别研究那样潜入探讨(兔子洞终点深)。因此,如若这个主题引起了你的酷好,我饱读动你查阅上头提到的一些蚁合。那些蚁合将为你提供更潜入的了解。
什么是EDR?EDR代表末端检测与反映(Endpoint Detection and Response)。EDR是下一代反病毒软件,用于检测主机系统上的可疑步履。它们提供了执续监控和高档恫吓所需的器具。
EDR不仅不错查找坏心文献,还不错监视末端和采集事件,并将它们纪录在数据库中以供进一步分析、检测和侦察。在许多EDR戒指台中,你不错稽查程度树、推行经过、程度注入等等。如若你依然或面前是安全分析师,你可能致使径直在职责中使用过这些器具。
以下是一些你可能老到的常见EDR供应商: 
在咱们潜入了解EDR的职责道理之前,咱们需要对Windows内核有一个基本的了解。在Windows架构中,有不同的走访模式。其中两种模式分裂是用户模式(非崇拜称为用户态)和内核模式(内核态)。
你不错将用户态视为与之交互的Windows部分。这包括用户可使用的应用措施,如Microsoft Office、互联网浏览器(Chrome、Firefox等)。往往情况下,这包括你在日常职责或家庭使用中使用的任何应用措施。
内核态是系统就业运行的场地。这包括操作系统代码、设立驱动措施、系统就业等等。内核模式具有对通盘系统内存和CPU提醒的权限。你不错将内核视为操作系统的中枢,它结合应用措施和底层硬件之间的桥梁。
将用户态和内核态分开的原因是保护瑕疵的Windows功能,使其无法被用户或用户态应用措施修改。如若用户约略径直修改内核代码,不仅会带来严重的安全问题,还会引起功能问题。如若瑕疵功能被调动,导致未处理的荒谬,可能会激发严重诞妄并导致系统崩溃。 
在以前(即x86 Windows XP期间及之前),用户态和内核态之间并莫得明确的权限分隔。应用措施不错为我方的主义修改内核函数(尽管这种作念法受到微软的反对)。举例,应用措施不错将内核系统调用表(syscall table)的地址修改为我方的内存空间。因此,当一个应用措施调用特定的内核函数时,反病毒软件或坏心应用措施不错将推行重定向到它们我方的内存空间。
底下是一个潜在的系统调用表以及怎么进行修改的示例。在引入PatchGuard之前,应用措施不错革新系统调用表中的地址。因此,当另一个应用措施尝试调用该函数时,内容上是调用了"rogue"函数。 
诚然,并非通盘诈欺内核补丁的应用措施王人具有坏情意图。许多反病毒引擎诈欺这种功能来加多它们的可见性(如若坏心应用措施调用某个函数,它将被重定向并由反病毒函数进行分析)。可是,通常的道理也为被称为"rootkit"的坏心软件眷属铺平了说念路。这些rootkit约略在内核的最深层级上运行,透顶戒指操作系统功能,致使在系统还原后仍然存在。不仅如斯,任何一个应用措施(岂论是好的如故坏的)如若对内核进行诞妄的补丁,导致未处理的荒谬,王人会导致主机出现蓝屏和崩溃的情况。Windows的处治决议是内核补丁保护(Kernel Patch Protection,KPP),往往被称为PatchGuard。这个功能率先是在Windows XP和Server 2003 SP1的x64版块中收尾的。该功能放手了在内核中不错修改和弗成修改的内容(比如修改系统调用地址)。如若进行了任何未经授权的补丁,PatchGuard将推行一个诞妄查验(bug check),通过蓝屏/重启并显现CRITICAL_STRUCTURE_CORRUPTION诞妄来关闭系统。可能会触发诞妄查验的修改示举例下:
需要能干的是,PatchGuard并不是全能的安全防护措施。由于Windows系统的运作款式,存在绕过PatchGuard的方法,坏心补丁和rootkit仍然存在(尽管比拟荒凉)。潜入研究PatchGuard超出了咱们EDR研究的限制。
最进军的少量是,由于这些保护措施,AV/EDR供应商无间使用内核补丁来运行并不恰当他们的最好利益,原因如下:
如若AV/EDR就业使用PatchGuard的绕过破绽来修改内核空间,Microsoft不错随时修补该破绽,从而阻扰其功能和运营模式。 如若软件存在破绽,他们将濒临崩溃通盘这个词操作系统的风险。因此,如若应用措施(包括AV/EDR应用措施)但愿重定向推行经过,这必须在用户空间内完成。它们不错通过驱动措施等款式与内核进行交互,但咱们会很快详确先容这少量。
程度怎么与内核交互?当一个应用措施调用Windows API来推行其代码时,推行经过爽脆如下所示。(这个特定的图形来自Christopher Vela在2019年CrikeyCon演讲中的内容)。尽管这个图形是针对Mimikatz.exe的,但对于任何措施王人是适用的。 
Slide from Christopher Vella在这个例子中,由于Mimikatz念念要读取LSASS的内存,它必须调用Kernel32库中的ReadProcessMemory函数(由Kernel32.dll调用)。该函数调用最终将被转发到Ntdll.dll中的NtReadVirtualMemory调用。(里面职责道理可能愈加复杂,但就本例而言,透顶了解这些Windows API调用的职责道理并不是必需的。)
由于应用措施无法径直与内核交互,它们使用了所谓的"Syscalls"(系统调用)。系统调用充任了一个近似代理的调用,用于与内核通讯。 
基本上,NTDLL创建了一个系统调用到内核,内核将推行NtReadVirtualMemory的系统调用。内核运行所需的函数,并将该函数的服从从系统调用复返给应用措施。通过这种款式,应用措施约略诈欺内核功能,而无需内容修改或在内核内存空间中运行。
在某些情况下,应用措施需要走访内核中的受保护数据。为此,需要使用相应的驱动措施。驱动措施有不同类型,举例硬件驱动措施和软件驱动措施。在本文中,咱们将重心关注软件驱动措施,因为咱们不会与打印机等硬件进行交互。字据微软的文档,当器具需要走访中枢操作系统数据结构时,会使用软件驱动措施。这种类型的数据结构只可被在内核模式下运行的代码走访。往往,需要这种功能的器具被分为两部分:
用户模式组件(应用措施) 该组件在用户模式下运行并提供用户界面。在EDR的限制内,不错将其视为用于分析事件的GUI戒指台。 内核模式组件(驱动措施) 该组件在内核模式下运行,并将信息传递回相应的应用措施。底下是来自并吞份微软文档的图形示例: 
在许多EDR收尾中,存在一个软件驱动措施,使应用措施约略走访内核并诈欺其来升迁对程度的可见性。
需要能干的是,天然驱动措施不错在内核模式下运行,但它们仍受到PatchGuard的放手。它们弗成在不崩溃系统的情况下修改受保护的内存。
系统回调当微软实施PatchGuard时,东说念主们签订到这将使一些措施(如反病毒软件)失去功能。为了处治这个问题,实施了所谓的内核回调机制。
内核回调的职责款式是,驱动措施不错在其代码中注册一个回调函数,用于任何支撑的操作,并在推行该特定操作时接受事前或后续示知。回调函数不会对底层的Windows内核进行任何修改。
这些回调的常见收尾是PsSetCreateProcessNotifyRoutine(Ex)。当驱动措施收尾了这个回调函数时,每当创建一个新程度时,就会调用这个回调例程,并向肯求它的驱动措施发送示知。驱动措施随后不错相应地推行我方的功能。
请记着,这不错是事前示知或后续示知。如若安全设立接受到新程度正在创建的事前示知,它不错查验该文献是否是已知的坏心文献,并向EDR驱动措施发送示知,以留心程度的发生。近似地,如若风险是未知的,它不错接受后续示知,并纪录程度操作以供以后进行进一步的分析和关联。
我找到的最肤浅的图形示例来自OpenSourceForU。当发生某个特定操作时,回调将向指定的内核驱动措施发送示知,然后驱动措施将向用户空间应用措施发送提醒。 
因此,我知说念在先决条目部分有好多信息,你可能会问为什么需要了解Windows内核技艺会通EDR。这对于会通EDR是至关进军的,因为EDR波及到上述通盘主题。为了获取可见性,EDR推行以下某个版块的操作:
内核回调 DLL挂钩/修补 推行流重定向在接下来的部分中,请记着咱们之前提到的程度树。当将EDR与其中夹杂时,咱们将详确先容这个程度树。 
Slide from Christopher Vella
如前所述,许多EDR应用措施具有相应的驱动措施,收尾了内核回调。本示例将波及“程度创建”回调。当推行应用措施(如Mimikatz.exe)时,该程度需要通过“CreateProcessW”等函数创建。调用此函数时,将触发相应的回调函数,况兼收尾该回调的任何驱动措施王人会收到一个示知。因此,不才面的图形中:
一个坏心用户或措施念念要生成“malware.exe”。为此,调用CreateProcessW函数来创建新程渡过甚干线程。如若将其与咱们的Mimikatz程度图进行比拟,这即是在Kernel32要领中进行的操作。 推行“程度创建”回调函数,并向EDR驱动措施发送一个事前示知,证明将要创建一个新程度。 EDR驱动措施迷惑EDR应用措施(EDR_Process.exe)在应用措施(malware.exe)的内存空间中注入和挂钩NTDLL,以将推行流重定向到自己。在Mimikatz图中,这是NTDLL部分,在系统调用之前。
Modified Slide from Christopher Vella
DLL Hooking
当今,让咱们扣问一下NTDLL挂钩的内容。
望望咱们的Mimikatz图,咱们刻下的推行景象如下。在接受到回调示知后,驱动措施迷惑EDR应用措施挂钩了NTDLL。通过挂钩NTDLL,推行流被重定向到EDR的内存空间和函数(如DLL)。由于它是在用户空间中对内存空间进行修补,是以不会导致内核崩溃,况兼恰当PatchGuard的要求。 
Slide from Christopher Vella当今你可能念念知说念什么是挂钩。进一步解释,底下是一个示例,证明EDR怎么挂钩一个DLL。
在原始的NTDLL内存空间中(红色框中的顶部方块),不错看到syscall提醒将推行传递给内核。这是未挂钩函数的平常经过。
在挂钩/修补的函数中(底部方块),不错看到一个无条目跳转(或其他提醒)到EDR内存空间,在本示例中为ctiuser(在咱们的图表限制内,这是EDR.dll)。
一朝推行流被重定向,EDR引擎会分析肯求并细则是否不错安全推行。如若细则推行是安全的,它将从头将函数重定向到原始的NtWriteVirtualMemory地址,并推行系统调用将服从复返给肯求的应用措施(左侧经过)。
如若判断调用是坏心的,它将不会进行系统调用,并终结程度(右侧经过)。 
Modified Slide from Christopher Vella回到咱们的Mimikatz图,以下是包括回长入挂钩的经过: 
Modified Slide from Christopher Vella
好的,当今咱们对EDR设立怎么获取可见性有了基本的了解,咱们不错运转了解它们的短处。字据咱们面前的了解,咱们有两个主要的场地不错阻止推行经过:
移除DLL挂钩。 移除内核回调。天然移除DLL挂钩是一个可行的方法,但需要针对每个可推行文献进行解钩。天然这是可行的,但为了肤浅起见,咱们将遴荐最肤浅的方法。表面上,如若透顶移除内核回调,任何咱们运行的可推行文献王人不会受到EDR的判断。这种方法可能比遴荐性地为每个可推行文献移除挂钩更不掩盖,但在本示例中,咱们不会重心扣问DLL挂钩。
在咱们的图表中,蓝色部分暗示咱们将禁用EDR的监控才略,灵验地“使传感器失明”。 
Modified Slide from Christopher Vella如若莫得回调被触发,EDR驱动措施将对将要发送到内核的函数调用毫无察觉,EDR应用措施将不会被迷惑挂钩DLL,推行经过也不会发生重定向。因此,复返一个干净、未经监控的推行经过: 
Slide from Christopher Vella
要删除回调,咱们不错从三个选项中遴荐一个(尽管我坚信您不错提倡更多选项),这取决于咱们念念要的阻扰性。
清零通盘这个词回调数组 清零特定程度的示知回调(只删除回调数组中的EDR驱动措施) 修改EDR程度示知回调函数让咱们一一解释每个选项。 清零通盘这个词回调数组回调函数数组波及许多内容,但为了肤浅起见,你不错将其视为一个数组,其中存储着每个肯求从回调函数中接受示知的驱动措施的指针。为了证明这少量,我将投入Windows内核调试器(KD)。咱们不会详确先容调试的职责道理;这仅仅为了展示确乎存在一个回调函数数组。首先,咱们将对PspSetCreateProcessNotifyRoutine进行反汇编("u"号令)。当今咱们只需要知说念这是一个在创建新程度时运行的回调例程。咱们将无间反汇编,直到到达一个"lea"提醒。通常,你只需要知说念,这个地址将保存包含肯求回调的驱动措施列表的回调函数数组。 
稽查这个内存地址,咱们不错看到以下数组。通盘以红色显现的部分王人是指向不同驱动措施的指针。 
当今,我会稍稍舞弊一下,使用咱们稍后将扣问的器具,但为了证明这些是驱动措施的回调函数,让咱们将它们与它们的称呼一齐列出来。天然我不会说起具体是哪个EDR,但请信托我的话,高亮显现的是EDR驱动措施。 
咱们不错将数组中的每个地址清零,但这可能会导致其他驱动措施产生荒谬行动,作为敌手或红队成员,你可能不但愿这么作念。
如上所示,数组中第6个元素的值是咱们的EDR驱动措施。如若咱们将数组中第6个元素(第7个值,因为数组从0运转)的回调地址清零,表面上咱们应该约略使EDR在处理程度创建事件时失去反映。
为了演示,让咱们在不修改任何回调函数的情况下运行Mimikatz(GitHub上的最新版块,莫得进行任何修改)。通过运行它,咱们将调用"process create"函数并触发一个回调,示知EDR,因为它的驱动措施位于回调函数数组中。 
咱们不错看到,该驱动措施检测到了坏心程度的创建,并迷惑终结该程度。
当今,让咱们将EDR回调清零,从数组中移除EDR驱动措施,望望是否不错贫瘠示知发送到EDR应用措施。 
运行Mimikatz。由于不再存在回调示知,EDR无法签订到程度的创建,况兼不会推行任何分析或终结操作。 
如若咱们将驱动措施地址复返到回调数组中,当咱们运行措施时,不错看到EDR按预期运行。 
这种方法波及将EDR驱动措施回调保留在回调数组中(不清零),但将函数的第一条提醒修改为"ret"提醒。在汇编提醒中,"ret"提醒基本上意味着复返。
通过进一步反汇编EDR驱动措施函数,咱们不错稽查在进行任何修改之前函数开头的提醒。 
使用咱们的精巧器具,咱们将再次使用“ret”号令来修补第一条提醒。 
当今,当咱们运行Mimikatz时,回调函数仍然会被调用,但它会立即“复返”到平常的推行经过中: 
为了证明这少量,让咱们将原始提醒从头放回函数中: 
咱们不错看到EDR再次约略终结推行经过: 
尽管咱们不错通过Windows内核调试器来演示对EDR进行讳饰,但彰着,这对于红队步履或防止的波折行动并不睬念念。在但愿骚扰EDR的每台主机上王人跳转到调试器中既不掩盖也不灵验。这即是咱们的精巧器具推崇作用的场地。
要通过坏心应用措施自动推行此操作,咱们需要创建我方的坏心驱动措施/坏心应用措施组合,近似于EDR驱动措施和应用措施一齐职责。基本上,使用内核来抗争内核。
我不是内核措施员,也不经营假装成为内核措施员,是以咱们将使用fdiskyou的GitHub技俩中的坏心客户端/坏心驱动措施,该技俩位于以下地址:
https://github.com/fdiskyou/windows-ps-callbacks-experiments这是他的研究的追随代码库,已在致谢中列出。编译源代码后,您将获取两个文献:
evil.sys(驱动措施) evilcli.exe(应用措施)—在咱们之前的示例中,我将其重定名为“ninja.exe”以下是该可推行文献中概括的功能。它不错清零回调数组,也不错使用“ret”号令修补函数提醒。它还不错将任何革新还原回修补之前的景象。
该应用措施与驱动措施共同职责。驱动措施具有读取和修改回调数组所需的权限,因为它在内核空间运行。应用措施是用户界面,用于迷惑驱动措施推行哪些号令。
在Windows上加载驱动措施
在Windows系统上加载驱动措施需要一定的权限集,并遵守特定的安全端正:
要加载驱动措施,您需要在主机上以至少管束员权限运行。 Windows不允许加载未签名的内核驱动措施。 荒谬情况是如若您启用了“测试签名模式”(在非开拓环境中较有数)。 不然,您有两个选项: 诈欺现存的驱动措施破绽。 获取驱动措施的数字签名。 在2015年7月29日之后颁发的任何文凭王人不允许在某些版块的Windows 10上运行的安全启动机器上加载。字据咱们的要求,土产货管束员权限是一说念朦拢,但在波折性的任务中并不荒凉。
加载驱动措施是咱们遭受更多困难的场地。我对内核驱动措施的诈欺训戒有限,是以我不会遴荐这个选项。这就只剩下获取咱们的evil.sys驱动措施的数字签名。从微软获取文凭的经过变得愈加严格(这是一件功德),需要经过微软的驱动措施审查,颁发文凭,并支付数百好意思元。因此,咱们只可寻找现存的文凭。
如下所示,咱们无法在“测试签名模式”以外(本文未波及)加载咱们的驱动措施。 
在潜入研究过程中,我发现了一个老到诈欺和创建我方驱动措施的社区。让我诧异的是,与咱们和EDR臆想的问题集与反舞弊引擎在某种程度上终点相似,特殊是针对视频游戏。
视频游戏的反舞弊引擎在功能上与EDR相似。它们往往带有一个驱动措施,具有注入到视频游戏的内存空间的才略,以确保莫得修改内存或函数调用。
为了绕过这些反舞弊引擎,这些游戏黑客也会加载我方的驱动措施或诈欺现存的驱动措施来禁用引擎的功能,就像咱们对待EDR一样(如若您感酷好,不错稽查著名的有破绽的Capcom驱动措施)。
在无间之前,我要强调我不饱读动将以下期间用于未经授权的黑客行动或在线游戏舞弊等坏心主义。这仅仅一个见地考据,展示了它们在您获取测试权限的环境中可能被销耗的款式。
在浏览一些论坛时,我很快找到了一个可能对我问题集有谜底的东说念主。 
看着这个文凭,它致使是在咱们的截止日历之前,也即是2015年7月29日之前创建的!对于驱动措施文凭的另一个道理事实是,微软往往不蔼然文凭是否逾期。唯有它依然是灵验的。这种情况可能会在畴昔发生改变,但面前是允许的。 
Microsoft允许使用他们的SignTool和稳健的交叉文凭对驱动措施进行签名。交叉文凭是“由一个文凭颁发机构(CA)颁发的数字文凭,用于签署另一个文凭颁发机构的根文凭的公钥。交叉文凭提供了一种从单个受信任的根CA到多个其他CA的信任链的方法”。
交叉文凭的作用包括:
使操作系统内核具有单个受信任的Microsoft根文凭颁发机构 将信任链彭胀到多个营业CA,这些CA颁发用于对Windows上的软件进行分发、装置和加载的软件发布者文凭(SPC)微软的官方文档页面提供了每个CA交叉文凭的下载蚁合。 
由于咱们的文凭是由“VeriSign Class 3 Public Primary Certification Authority”颁发的,咱们将下载相应的文凭。使用文凭和交叉文凭,咱们不错对咱们的坏心驱动措施进行签名。
要对文凭进行签名,咱们将使用之前提到的SignTool器具。 
正如咱们所看到的,咱们遭受了一个小问题。它暗示咱们莫得恰当条目的文凭。请记着,该文凭在2014年11月逾期。事实证明,咱们不错在系统时候上作念一些行为。 
有了一个“灵验”的文凭,咱们当今应该不错凯旋加载驱动措施了。 
当咱们运行对应的evilcli.exe应用措施时,咱们当今不错诈欺咱们新驱动措施的功能了。 
为了展示应用措施和驱动措施之间的关联性,底下是在未启动驱动措施的情况下运行应用措施时发生的情况。 
临了,让咱们使用咱们的坏心措施来使咱们的EDR驱动措施中的程度、线程和加载映像回调失效,并推行Mimikatz以获取完整的密码转储。
首先,咱们不错看到咱们的EDR就业正在运行(你只可信托我的话)。 
为了展示还原EDR回调函数: 
一般而言,杀毒软件和其他安全设立往往不会对驱动措施进行严格的审查。它们往往比世俗用户应用措施更受信任。因此,病毒签名可能不是检测坏心驱动措施最可靠的方法(在我的文献中,EDR莫得发现任何病毒检测)。
丁香五月花此外,许多EDR并莫得实施反调动措施来查验其回调函数是否被清零或革新。原因可能是由于EDR运行在内核中,不但愿通过执续查验来加多额外的CPU支出。跟着新的研究的出现,这种情况可能会改变,但面前咱们也弗成依赖EDR来进行查验。
我发现的是,Windows事件日记内容上纪录了在系统日记中加载驱动措施的情况。底下是一个平常的EventID 7045(已装置新就业)示例,对应一个正当的Dell驱动措施。这些事件发生在推敲机上装置新的就业/驱动措施时。当您装置打印机、无线采集或其他驱动措施时,可能会看到这些事件。
除了一个边际情况(至少在我的机器上),当加载内核模式驱动措施时,安全符号符(SID)历久为“S-1-5-18”(土产货系统帐户)。 
正如您所看到的,在加载咱们的坏心驱动措施时,它是由用户SID装置的: 
不错会通,在内容的波折步履中,驱动措施可能会有一个正当的称呼,并装置在System32\Drivers\目次中。
我信托,如若您使用SYSTEM权限创建就业,情况可能会有所不同,但往往这需要像PSEXEC或破绽诈欺这么的器具,这么很可能会产生更多的杂音,并有更大的可能性被杀毒软件/EDR检测到。
这种检测可能并不完满,因为存在一些边际情况。底下是装置Npcap Packet Driver的示例,它是Wireshark装置的一部分。但我念念象在非期间性的营业环境中,这么的驱动措施可能不会辞世俗职责站上装置。 
[竞赛]2024 KCTF 大赛征题截止日历08月10日!巨乳 女優