今天我将向您展示如何使用简单的 C++ 代码来规避 ETW 。 什么是ETW? 好的,所以 ETW 代表 Windows 的事件跟踪。现在,不要让这个名字吓跑你——它本质上是一个工具,可以帮助 Win...
浅谈bypass Etw
关注并星标🌟 一起学安全❤️作者:coleak 首发于公号:渗透测试安全攻防 字数:19930声明:仅供学习参考,请勿用作违法用途目录c#ExecuteAssemblybypass etwc#loa...
如何使用LightsOut生成经过混淆处理的DLL
关于LightsOut LightsOut是一款功能强大的DLL生成工具,该工具可以帮助广大研究人员轻松生成经过混淆处理的DLL。该工具专为红队研究人员设计,生成的DLL可以在研究人员尝试绕过反病毒产...
LightsOut!逃避AV禁用AMSI和ETW
声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。现在只对常读和星标的公众号才展示大图推送,建议大家把H...
一个新的免杀payload工具包
介绍Freeze.rs是一个有效负载工具包,用于使用挂起的进程绕过EDR,直接使用RUST编写的系统调用,用于绕过EDR安全控制,以秘密的方式执行shellcode。Freeze.rs 利用多种技术不...
C++监视磁盘活动进程信息(ETW同理适用其他性能监控)
一、目的为了实现监控磁盘活动的进程信息(微软自带资源监视器软件)二、了解ETWETW是Event Tracing for Windows的简称,它是Windows提供的原生的事件跟踪日志系统。由于采用...
Win11 23H2的发布会让彻底杜绝KASLR绕过吗?
微软最近的精力主要放在了Win11 22H2年度更新上了,正式版本预计要到明年9月底正式发布,现在已经大量推送。近年来,微软下大力缓解和修复特定的恶意软件或漏洞,增加了大量的缓解措施,如零初始化池分配...
Scheduled-Task-Tampering
基本介绍微软最近发表了一篇文章,记录了HAFNIUM威胁参与者如何利用计划任务存储在注册表中的缺陷来隐藏它们的存在,这清楚地表明所呈现的漏洞很可能不是影响计划任务组件的唯一缺陷,我们开始研究如何滥用计...
自己动手制作一个过保护调试器
一、起因第一次接触驱动开发的小白,事情是这样的,一个星期前突发奇想想做一个腻o调试器保护程序用于调试游戏,既然要调试驱动保护的程序,自然也要深入驱动底层做调试器必须要hook api去隐藏调试器的参数...
【漏洞预警】CVE-2021-34486:Windows 事件跟踪 (ETW)TimerCallbackContex
点击上方蓝字“Ots安全”一起玩耍概述Windows 事件跟踪 (ETW) 机制允许记录内核或应用程序定义的事件以进行调试。开发人员能够启动和停止事件跟踪会话,检测应用程序以提供跟踪事件,并通过调用 ...
深入分析ETW机制中的信息泄露漏洞
在本文中,我们将为读者详细介绍在研究ETW内部运行机制过程中发现的一个信息泄露漏洞:利用该漏洞,任何用户都能获得NonPaged池的大概位置。同时,我们还提供了相应的PoC。ETW的工作原理关于ETW...
如何利用COMPlus_ETWEnabled隐藏.NET行为
0x00 前言 之前一段时间,我想澄清防御方如何检测内存中加载的Assembly(程序集),并在3月份发表了一篇文章(译文),介绍了禁用ETW的一些思路。随后有多个研究人员(包括Cneeliz、B...