TiEtwAgent El proyecto se lanzó para explorar, construir y probar varios casos de uso para la detección de inyección de memoria y técnicas de bypass. El agente utiliza el proveedor de seguimiento de eventos de Microsoft Windows Threat Intelligence como una alternativa más moderna y estable al enlace de usuario con las ventajas de la visibilidad en modo kernel.
El proyecto depende de la biblioteca microsoft / krabsetw para la configuración y el consumo de ETS.
Puede encontrar una publicación de blog adjunta aquí: https://blog.redbluepurple.io/windows-security-research/kernel-tracing-injection-detection
Agregar nuevas detecciones
Se pueden agregar fácilmente funciones de detección DetectionLogic.cpp, y llamado desde detect_event(GenericEvent evt) para cada tipo de evento de origen. Se puede agregar soporte para nuevos campos de eventos simplemente agregando sus nombres a la tarjeta en formato. ser añadido GenericEvent Declaración de clase.
Instrucciones de instalación
Suponga que no tiene un certificado de firma de confianza de Microsoft:
- Ponga su computadora en modo de firma de prueba con bcdedit
- Genere un certificado autofirmado con ELAM y Code Signing EKU
- Firme TiEtwAgent.exe y su controlador ELAM con el certificado
- ./TiEtwAgent Instalar
- inicio neto TiEtwAgent
- Busque registros, de forma predeterminada en C: Windows Temp TiEtwAgent.txt
