在本文中,我们将为读者详细介绍在研究ETW内部运行机制过程中发现的一个信息泄露漏洞:利用该漏洞,任何用户都能获得NonPaged池的大概位置。同时,我们还提供了相应的PoC。ETW的工作原理关于ETW...
如何利用COMPlus_ETWEnabled隐藏.NET行为
0x00 前言 之前一段时间,我想澄清防御方如何检测内存中加载的Assembly(程序集),并在3月份发表了一篇文章(译文),介绍了禁用ETW的一些思路。随后有多个研究人员(包括Cneeliz、B...
2