【文件属性】：
文件名称：通过驱动程序卸载绝育Sysmon_C#_下载
文件大小：939KB
文件格式：ZIP
更新时间：2022-09-02 06:42:54
C# (更多详情、使用方法，请下载后细读README.md文件) Shhmon - 通过卸载其驱动程序实现中性 Sysmon\nUsage Shhmon.exe huntkill\n虽然 Sysmon 的驱动程序可以在安装时重命名，但它总是在海拔 385201 处加载。这个工具的目的是挑战我们的防御工具总是收集事件的假设。Shhmon 使用以下策略定位并卸载驱动程序：\n1.使用fltlib!FilterFindFirst和fltlib!FilterFindNext枚举系统上的驱动程序来代替爬取注册表。\n2a. 如果在海拔 385201 找到驱动程序，它会使用kernel32!OpenProcessToken和advapi32!AdjustTokenPrivileges授予自己SeLoadDriverPrivilege。\n2b。如果在 385201 处未找到驱动程序，它会HKLM\\SYSTEM\\CurrentControlSet\\Services查找“Sysmon Instance”子项，如果找到，则分配所需的权限，如上所述。\n3.如果能够获得所需的权限，则调用fltlib!Fi
【文件预览】：
通过驱动程序卸载绝育Sysmon
----sdvc (4).txt(227B)
----密码.jpg(64KB)
----sdvc.txt(227B)
----sdvc(6).txt(227B)
----sdvc1.txt(227B)
----sdvc ).txt(227B)
----通过驱动程序卸载绝育Sysmon.zip(894KB)
----sdvc 2).txt(227B)
----sdvc (2).txt(227B)
----readme.txt(112B)