文件名称:TiEtwAgent:基于ETW的PoC内存注入检测代理,用于攻防研究
文件大小:96.21MB
文件格式:ZIP
更新时间:2024-05-06 09:39:19
security detection injection memory-scanning edr
TiEtwAgent-基于ETW的过程注入检测 创建该项目的目的是研究,构建和测试不同的内存注入检测用例和旁路技术。 该代理利用Microsoft-Windows-Threat-Intelligence事件跟踪提供程序,作为Userland-hooking的一种更现代,更稳定的替代方法,它具有内核模式可见性的优点。 该项目依赖于库进行ETS设置和使用。 可以在此处找到随附的博客文章: : 添加新的检测 检测功能可以轻松地添加到DetectionLogic.cpp ,并可以针对任何源事件类型从detect_event(GenericEvent evt)调用。 通过将其名称附加到GenericEvent类声明中的映射,可以轻松添加对新事件字段的支持。 设定说明 假设您没有Microsoft信任的签名证书: 使用bcdedit将计算机置于测试签名模式 使用ELAM和代码签名EKU生成自