Tutoriales

Agente de detección de inyección de memoria PoC basado en ETW

TiEtwAgent El proyecto se lanzó para explorar, construir y probar varios casos de uso para la detección de inyección de memoria y técnicas de bypass. El agente utiliza el proveedor de seguimiento de eventos de Microsoft Windows Threat Intelligence como una alternativa más moderna y estable al enlace de usuario con las ventajas de la visibilidad en modo kernel.

El proyecto depende de la biblioteca microsoft / krabsetw para la configuración y el consumo de ETS.

Puede encontrar una publicación de blog adjunta aquí: https://blog.redbluepurple.io/windows-security-research/kernel-tracing-injection-detection

Agregar nuevas detecciones

Se pueden agregar fácilmente funciones de detección DetectionLogic.cpp, y llamado desde detect_event(GenericEvent evt) para cada tipo de evento de origen. Se puede agregar soporte para nuevos campos de eventos simplemente agregando sus nombres a la tarjeta en formato. ser añadido GenericEvent Declaración de clase.

Instrucciones de instalación

Suponga que no tiene un certificado de firma de confianza de Microsoft:

  • Ponga su computadora en modo de firma de prueba con bcdedit
  • Genere un certificado autofirmado con ELAM y Code Signing EKU
  • Firme TiEtwAgent.exe y su controlador ELAM con el certificado
  • ./TiEtwAgent Instalar
  • inicio neto TiEtwAgent
  • Busque registros, de forma predeterminada en C: Windows Temp TiEtwAgent.txt

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba