文件名称:TamperETW:PoC演示如何篡改CLR ETW事件
文件大小:57KB
文件格式:ZIP
更新时间:2024-03-28 09:19:23
C
坦佩ETW 概念验证,演示如何过滤/篡改CLR ETW事件 MDSec的亚当·切斯特(Adam Chester)(@_xpn_)最近涉及红队如何通过禁用.NET ETW遥测来隐藏.NET程序集的负载。 在他的博客中,他包含了概念证明代码,该代码演示了如何通过修补本机EtwEventWrite函数来取消ETW遥测。 根据他的研究,我编写了一个x64版本/概念证明,它使用本机系统调用在EtwEventWrite函数上放置一个内联挂钩。 通过钩住EtwEventWrite并将程序流重定向到我们的自定义MyEtwEventWrite函数,我们可以拦截函数参数并检查或更改数据(EVENT_DESCRIPTOR和EVENT_DATA_DESCRIPTOR数据结构)。 然后,我们使用本机EtwEventWriteFull函数有选择地转发.NET ETW事件。 在此PoC中,我们阻止发送一些ETW(C
【文件预览】:
TamperETW-master
----TamperETW()
--------UnmanagedCLR()
--------ManagedDLL()
--------x64()
--------TamperETW.sln(2KB)
----.gitattributes(66B)
----TamperETW.png(41KB)
----README.md(2KB)