【文件属性】：
文件名称：TamperETW:PoC演示如何篡改CLR ETW事件
文件大小：57KB
文件格式：ZIP
更新时间：2021-03-08 15:32:43
C 坦佩ETW 概念验证，演示如何过滤/篡改CLR ETW事件 MDSec的亚当·切斯特（Adam Chester）（@_xpn_）最近涉及红队如何通过禁用.NET ETW遥测来隐藏.NET程序集的负载。 在他的博客中，他包含了概念证明代码，该代码演示了如何通过修补本机EtwEventWrite函数来取消ETW遥测。 根据他的研究，我编写了一个x64版本/概念证明，它使用本机系统调用在EtwEventWrite函数上放置一个内联挂钩。 通过钩住EtwEventWrite并将程序流重定向到我们的自定义MyEtwEventWrite函数，我们可以拦截函数参数并检查或更改数据（EVENT_DESCRIPTOR和EVENT_DATA_DESCRIPTOR数据结构）。 然后，我们使用本机EtwEventWriteFull函数有选择地转发.NET ETW事件。 在此PoC中，我们阻止发送一些ETW（C
【文件预览】：
TamperETW-master
----TamperETW()
--------UnmanagedCLR()
--------ManagedDLL()
--------x64()
--------TamperETW.sln(2KB)
----.gitattributes(66B)
----TamperETW.png(41KB)
----README.md(2KB)