推荐文章:利用ETW实现进程注入检测——TiEtwAgent
1、项目介绍
TiEtwAgent是一个创新的开源项目,专注于研究、构建和测试内存注入检测的不同场景和技术,以及绕过技巧。这个智能代理利用了Microsoft-Windows-Threat-Intelligence事件追踪提供者,作为用户态挂钩的现代替代方案,提供了内核模式的可见性,从而提高安全性。
2、项目技术分析
TiEtwAgent依赖于microsoft/krabsetw库来设置和消费事件追踪集(ETS)。该项目的核心在于其高效地解析和处理ETW事件,以便实时检测潜在的恶意行为。在DetectionLogic.cpp
中添加新的检测功能十分简便,只需调用detect_event(GenericEvent evt)
函数即可针对任何源事件类型进行检测。通过扩展GenericEvent
类中的事件字段映射,可以轻松支持新事件字段。
3、项目及技术应用场景
无论是在企业安全环境中监控系统行为,还是在研究防御策略的开发人员中,TiEtwAgent都有着广泛的应用前景。它可以作为一个强大的工具,帮助防御者提前发现并预防进程注入攻击,如DLL劫持、注入PE等。此外,对ELAM(Early Launch Anti-Malware)驱动的支持使得它能够更早地介入操作系统启动过程,进一步增强系统的防御力。
4、项目特点
- 内核级视角:借助ETW,TiEtwAgent能以内核模式观察系统,提供比传统用户态挂钩更全面的安全视图。
- 易于扩展:新检测逻辑可以通过简单的API接口轻松添加,提高了代码复用性和可维护性。
- 自定义配置:支持自签名证书的设备可以在不干扰正常操作系统的前提下运行,使得实验和部署更加灵活。
- 实时检测:实时解析和响应事件,及时捕获可疑活动。
除了项目本身,社区还提供了详细的安装指南和待办事项列表,便于开发者快速上手和贡献代码。特别值得一提的是,TiEtwAgent得到了@pathtofile的帮助,他的相关博客文章为项目的开发提供了宝贵的经验。
如果你对提升系统安全防护,尤其是防止恶意进程注入感兴趣,那么TiEtwAgent绝对值得你一试。立即加入,一同探索这一前沿领域的无限可能吧!
[![](https://i.imgur.com/M9QXk1z.gif)](https://i.imgur.com/M9QXk1z.gif)