探索安全边界:Sealighter-TI——无驱动ETW提供者神器

最新推荐文章于 2024-06-21 09:48:22 发布
最新推荐文章于 2024-06-21 09:48:22 发布
阅读量362 收藏 10
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00089/article/details/139616393
版权

探索安全边界:Sealighter-TI——无驱动ETW提供者神器

在网络安全和逆向工程的领域中,有一种工具能够帮助我们检测进程注入和其他攻击行为,那就是Microsoft-Windows-Threat-Intelligence ETW(事件追踪)提供者。然而,要访问这个强大的工具,需要一个具有“Protected Process Light (PPL)”级别的特权,这通常需要微软签名的驱动程序。现在,Sealighter-TI的到来打破了这一限制。

项目介绍

Sealighter-TI是一个创新的开源项目,它结合了Sealighter和未修补的漏洞利用,以及PPLDump,无需签名驱动即可运行Microsoft-Windows-Threat-Intelligence ETW提供者。这意味着你可以在生产环境中轻松实现高级威胁监控,而不需要进行复杂的系统设置。

技术分析

该项目的核心在于利用Clément Labro的未修补漏洞,即PPLDump,让服务进程加载任意DLL。然后,Sealighter-TI将这些特权用于执行Sealighter的ETW日志记录功能,将事件直接写入Windows事件日志,实现了不依赖测试模式或签名驱动的安全监控。

应用场景

Sealighter-TI适用于以下情况:

  1. 安全研究人员在无特殊权限的情况下检测潜在的恶意行为。
  2. 系统管理员需要对生产环境中的进程注入等攻击进行监控。
  3. 对系统安全性进行评估和调试时,无需修改操作系统配置。

项目特点

  1. 无需签名驱动:避免了开发和提交驱动给微软签名的繁琐过程。
  2. 易部署:只需下载预编译的二进制文件,简单配置后即可运行。
  3. 兼容性:已在Windows 10 x64上测试通过。
  4. 可扩展性:基于PPLDump的代码结构,便于更新和维护。

如果你对此感兴趣,并希望深入了解Windows安全机制,或者在你的工作和研究中需要这样的工具,那么Sealighter-TI绝对值得尝试。请记得,由于项目涉及安全漏洞,务必谨慎操作并遵循当地法律法规。

要开始使用,访问Sealighter-TI的GitHub页面,按照Readme指示进行编译或下载预构建版本。别忘了阅读作者的技术博客,了解更多关于该项目的工作原理和技术细节。

宋韵庚
关注
web渗透--69--Microsoft-Threat-Modeling-Tool威胁建模工具介绍
武天旭的博客
09-11 6554
1、工具安装 前期准备: 1)预装Windows操作系统,因为该工具仅适用于Windows 2)需要安装.NET Framework 4.7.1及其以上版本 3)下载代理程序后,需要联网进行安装 下载安装 1)下载地址:https://aka.ms/threatmodelingtool 2)双击安装包,在弹出的框中点击“安装” 3)等待下载,直到安装完成 2、工具模块 该工具主要有以下五个模块:创建模型、打开模型、阅读使用指南、创建一个新的模板、打开一个模板。由于该工具内置的模板已经足够使用,因此常用的模块
2019年度优秀安全内容合集
热门推荐
anquanzushiye的博客
01-06 3万+
2019信息源与信息类型占比微信公众号推荐昵称_英语weixin_no标题网址安全祖师爷PowerShell渗透–帝国https://mp.weixin.qq.com/s/giBR-rn...
ETW的攻与防
hongduilanjun的博客
09-14 2975
ETW全称为,即windows事件跟踪,它是Windows提供的原生的事件跟踪日志系统。由于采用内核层面的缓冲和日志记录机制,所以ETW提供了一种非常高效的事件跟踪日志解决方案,本文基于ETW探究其攻与防的实现。
什么是威胁情报(Threat Intelligence
angaoqian2008的博客
11-20 991
  什么是威胁情报,其实安全圈一直在使用着它们,漏洞库、指纹库、IP信誉库,它们都是威胁情报的一部分。情报就是线索,威胁情报就是为了还原已发生的攻击和预测未发生的攻击所需要的一切线索。“所谓的威胁情报就是帮助我们发现威胁,并进行处置的相应知识。这种知识就是我们所说的威胁情报”。   互联网安全曾经历经了流氓互殴,侠客对决、黑社会火并等等阶段,现在已经形成了攻击者有组织有预谋,防御者有侦...
探索与发现:SilkETW 和 SilkService——让ETW变得简单易用
gitblog_00073的博客
05-18 306
探索与发现:SilkETW 和 SilkService——让ETW变得简单易用 SilkETW项目地址:https://gitcode.com/gh_mirrors/si/SilkETW 项目简介 SilkETW 和 SilkService 是两个强大的C#包装器,它们专为Windows的事件追踪(ETW)设计,旨在消除其复杂性,提供一种简单易用的方式来进行系统研究和洞察。无论是防御还是进攻,这...
探索安全边界:深入浅出XXMalwareDev——一个绕过安全检测的艺术品
gitblog_00070的博客
06-21 566
探索安全边界:深入浅出XXMalwareDev——一个绕过安全检测的艺术品 项目地址:https://gitcode.com/kymb0/Malware_learns 项目介绍 XXMalwareDev是一个专注于高级规避技术和恶意软件开发的开源项目。作者通过一系列在线课程的学习与实践,积累了关于反病毒(AV)逃避、payload设计等领域的宝贵知识,并将这些智慧结晶汇聚于此。项目不仅覆盖了SLA...
探索无补丁执行:PatchlessInlineExecute-Assembly
gitblog_00005的博客
06-20 256
探索无补丁执行:PatchlessInlineExecute-Assembly 项目地址:https://gitcode.com/VoldeSec/PatchlessInlineExecute-Assembly 项目介绍 PatchlessInlineExecute-Assembly 是一个创新的开源项目,它将 BOF InlineExecute-Assembly 的功能移植到了.NET环境中,但...
探索网络安全的新边界ETWHash - 实时监控NetNTLMv2哈希
gitblog_00045的博客
05-28 391
探索网络安全的新边界ETWHash - 实时监控NetNTLMv2哈希 项目地址:https://gitcode.com/nettitude/ETWHash 项目介绍 在网络安全领域中,实时监控和识别潜在威胁是一项至关重要的任务。ETWHash是一个创新的C#原型项目,它能够通过订阅微软Windows SMBServer事件提供程序来捕获并提取SMB协议中的NetNTLMv2哈希值。这个开源工具...
探索安全领域的新纪元:SharpBlock - 突破EDR的利器
gitblog_00078的博客
05-15 278
探索安全领域的新纪元:SharpBlock - 突破EDR的利器 项目地址:https://gitcode.com/CCob/SharpBlock 项目介绍 在网络安全的世界里,对抗高级威胁防御系统(EDR)已经成为了一场无声的战争。SharpBlock,由安全专家@EthicalChaos 创建,是一种创新的工具,它通过防止DLL入口点执行来规避EDR的主动防护。这个项目不仅提供了一种新的安全攻...
iis-etw-tracing:IIS 8.5 ETW跟踪
05-15
IIS 8.5 ETW记录 IIS 8.5(Windows Server 2012 R2)支持将W3SVC日志写入传统的基于文本的W3C日志文件(或作为替代方法)到ETW(Windows事件跟踪)。 您可以阅读有关此功能的更多信息。 这为以更紧凑的格式处理...
EtwExplorer:查看ETW提供者清单
05-24
查看ETW提供者元数据 Windows事件跟踪( )是Windows操作系统中内置的日志记录工具。 现代提供程序注册了一个清单,该清单描述了他们支持的所有事件及其属性。 经典提供者改为注册MOF。 ETW Explorer尝试通过简单的...
etw_pytorch_utils-master.zip
11-23
etw_pytorch_utils资源包,通过github怕以后找不到资源。解压后运行sudo python setup.py install可以顺利安装,解决pip install -r requirements.txt依赖etw失败的问题
Doge-UnhookEtw:通过golang解开etw
04-01
通过golang解开etw 摘机ETW的golang实现 绕过.NET ETW检测 详见文章 参考 ETC 开源的样本大部分可能已经无法免杀,需要自行修改 我认为基础核心代码的开源能够帮助想学习的人 本人从github大佬项目中学到了很多 ...
在Pycharm中配置集成Git,内附详细文档html+Git-2.46.2-64-bit.exe
09-28
资源来自https://gitforwindows.org/;关于如何将git与pycharm连接,可参考https://zhuanlan.zhihu.com/p/660854965
平面口罩打片机_包括零件图_机械3D图可修改打包下载.rar
09-28
平面口罩打片机_包括零件图_机械3D图可修改打包下载.rar
基于Android平台的Java老年人健康管理应用设计源码
09-28
该应用是一款基于Android平台的Java开发老年人健康管理应用,源代码包含172个文件,其中包括61个Java源文件、56个XML布局文件、40个PNG图像资源、4个Gradle构建脚本、3个Git忽略规则、2个属性文件和少量其他文件类型,旨在为老年人提供便捷的健康管理服务。
技术资料分享FPGA入门系列实验教程V1.0.zip
09-28
技术资料分享FPGA入门系列实验教程V1.0.zip
崔玉涛 婴儿辅食表,用于6到12个月的婴儿
最新发布
09-28
崔玉涛 婴儿辅食表,用于6到12个月的婴儿
ETW入门教程:性能追踪利器
本书《ETW初级入门》旨在为初学者提供一个易于理解且实用的指南,涵盖了ETW的基础知识、使用方法以及其在系统监控中的应用。 在第1章中,作者介绍了ETW的基本概念,包括它是如何作为系统级的事件追踪手段,相较于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

宋韵庚

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值