【文件属性】：

文件名称：Shhmon：通过驱动程序卸载消除Sys​​mon

文件大小：893KB

文件格式：ZIP

更新时间：2024-02-26 01:05:32

csharp sysmon evasion C#C#

Shhmon-Neuter Sysmon通过卸载其驱动程序 Usage: Shhmon.exe 尽管可以在安装时重命名Sysmon的驱动程序，但始终将其加载在385201高度上。此工具的目的是对我们的防御工具始终在收集事件的假设提出质疑。 Shhmon使用以下策略定位并卸载驱动程序： 1.使用fltlib!FilterFindFirst和fltlib!FilterFindNext枚举系统上的驱动程序，以代替对注册表的爬网。 2a。 如果在海拔385201处找到了驱动程序，它将使用kernel32!OpenProcessToken和advapi32!AdjustToke

【文件预览】：
Shhmon-master
----Shhmon.sln(1KB)
----Shhmon()
--------Tokens.cs(2KB)
--------Program.cs(6KB)
--------FilterParser.cs(8KB)
--------Shhmon.csproj(2KB)
--------app.config(163B)
--------Win32.cs(7KB)
--------ResizableBuffer.cs(4KB)
--------Properties()
----.gitignore(5KB)
----ShhmonDemo.gif(1.54MB)
----README.md(2KB)