Shhmon:通过驱动程序卸载消除Sysmon 源码
Shhmon-Neuter Sysmon通过卸载其驱动程序 Usage: Shhmon.exe 尽管可以在安装时重命名Sysmon的驱动程序,但始终将其加载在385201高度上。此工具的目的是对我们的防御工具始终在收集事件的假设提出质疑。 Shhmon使用以下策略定位并卸载驱动程序: 1.使用fltlib!FilterFindFirst和fltlib!FilterFindNext枚举系统上的驱动程序,以代替对注册表的爬网。 2a。 如果在海拔385201处找到了驱动程序,它将使用kernel32!OpenProcessToken和advapi32!AdjustToke
下载地址
用户评论
