文件名称:Windows-EventLog-Bypass:使用来自TEB的subProcessTag值来标识事件日志线程
文件大小:5KB
文件格式:ZIP
更新时间:2024-06-03 19:24:05
C++
Windwos-EventLog-Bypass 使用来自TEB的subProcessTag值来标识事件日志线程。 使用NtQueryInformationThread API和I_QueryTagInformation API获取线程的服务名称。 自动终止事件日志服务线程。 因此,系统将无法收集日志,同时事件日志服务似乎正在运行。 借鉴: 和 有关它的详细信息: 更新: 挂起或恢复Eventlog服务的线程。用于停止或恢复系统以收集日志:
【文件预览】:
Windows-EventLog-Bypass-master
----.gitignore(270B)
----README.md(893B)
----WindowsEventLogBypass.cpp(7KB)
----TerminateEventLogThread.cpp(1KB)