Tutoriales

Agente de detección de inyección de memoria PoC basado en ETW

TiEtwAgent El proyecto se lanzó para explorar, construir y probar varios casos de uso para la detección de inyección de memoria y técnicas de bypass. El agente utiliza el proveedor de seguimiento de eventos de Microsoft Windows Threat Intelligence como una alternativa más moderna y estable al enlace de usuario con las ventajas de la visibilidad en modo kernel.

El proyecto depende de la biblioteca microsoft / krabsetw para la configuración y el consumo de ETS.

Puede encontrar una publicación de blog adjunta aquí: https://blog.redbluepurple.io/windows-security-research/kernel-tracing-injection-detection

Agregar nuevas detecciones

Se pueden agregar fácilmente funciones de detección DetectionLogic.cpp, y llamado desde detect_event(GenericEvent evt) para cada tipo de evento de origen. Se puede agregar soporte para nuevos campos de eventos simplemente agregando sus nombres a la tarjeta en formato. ser añadido GenericEvent Declaración de clase.

Instrucciones de instalación

Suponga que no tiene un certificado de firma de confianza de Microsoft:

  • Ponga su computadora en modo de firma de prueba con bcdedit
  • Genere un certificado autofirmado con ELAM y Code Signing EKU
  • Firme TiEtwAgent.exe y su controlador ELAM con el certificado
  • ./TiEtwAgent Instalar
  • inicio neto TiEtwAgent
  • Busque registros, de forma predeterminada en C: Windows Temp TiEtwAgent.txt

LEER  Instalación de Ubuntu 20.04 LTS junto con Windows 10

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba