推荐开源项目:Shhmon - 静默移除Sysmon驱动程序的工具

于 2024-05-31 09:47:08 发布
阅读量243 收藏 4
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00091/article/details/139342530
版权

推荐开源项目:Shhmon - 静默移除Sysmon驱动程序的工具

ShhmonNeutering Sysmon via driver unload项目地址:https://gitcode.com/gh_mirrors/sh/Shhmon

1、项目介绍

Shhmon是一个小巧而强大的工具,旨在悄无声息地卸载系统监控工具Sysmon的驱动程序。它利用特定的枚举和权限调整策略,寻找并终止Sysmon的监视行为。对于那些希望测试或研究安全防御工具有时可能面临的挑战的人来说,Shhmon提供了一个独特且实用的方法。

2、项目技术分析

Shhmon的工作原理相当精妙:

  1. 它使用fltlib!FilterFindFirstfltlib!FilterFindNext遍历系统中的驱动程序,而不是直接查询注册表。
  2. 如果在海拔385201处发现Sysmon驱动,Shhmon会通过kernel32!OpenProcessTokenadvapi32!AdjustTokenPrivileges赋予自身SeLoadDriverPrivilege权限。
  3. 若未在指定高度找到驱动,则扫描HKLM\SYSTEM\CurrentControlSet\Services下的"Sysmon Instance"子键,并执行上述步骤。
  4. 获得必要权限后,调用fltlib!FilterUnload卸载驱动。

这一流程巧妙地避开了传统方法,使得操作更加隐蔽。

3、项目及技术应用场景

Shhmon适用于以下场景:

  • 安全研究人员:用于测试系统监测工具的有效性和应对措施。
  • 系统管理员:评估和改善系统防御策略,确保在面对恶意攻击时能保持敏锐的洞察力。
  • 教育与培训:在实战演练中,帮助学员理解如何规避特定的安全防护机制。

4、项目特点

  • 高效查找:采用枚举驱动而非传统注册表搜索,提高了效率。
  • 权限管理:智能获取必要的权限来卸载驱动,避免引起过多系统警报。
  • 清晰的日志:相关事件如错误消息、驱动卸载记录等,有助于识别和调查。
  • 应用场景广泛:既可作为攻击模拟工具,也可用于防守端的漏洞测试。

遵循MITRE ATT&CK框架的T1054T1089,Shhmon为深入理解这些技术和攻击手法提供了便利。

简而言之,Shhmon是针对Sysmon防御机制的一个独特视角,其创新的技术和巧妙的应用场景,无论对于安全专业人士还是对安全领域感兴趣的个人,都值得尝试和学习。立即加入,亲身体验这一开源项目的魅力吧!

ShhmonNeutering Sysmon via driver unload项目地址:https://gitcode.com/gh_mirrors/sh/Shhmon

潘俭渝Erik
关注
ansible-win-sysmon:使用Ansible配置Windows Sysmon
05-03
Windows Sysmon角色 在Windows系统上设置Sysinternals Sysmon的角色。 要求和依存关系 Ansible 已在以下版本上进行了测试: 2.3(无法正常工作! =模板上传失败) 2.4 2.5b2 操作系统 在传送带中测试 剧本范例 ...
推荐一款高效能的开源神器:[shh](https://github.com/shh)
gitblog_00057的博客
05-26 433
推荐一款高效能的开源神器:shh 项目地址:https://gitcode.com/luke-clifton/shh 项目介绍 在浩如烟海的开源世界中,我们有幸发现了一颗璀璨的明珠——shh。这是一款专为开发者打造的全能工具,它集成了多种实用功能,旨在提升开发效率,简化工作流程。无论你是经验丰富的老手还是初出茅庐的新兵,shh都能成为你的得力助手。 项目技术分析 shh基于现代化的编程语言和框架构...
sysmon-modular:sysmon配置模块的存储库
04-27
sysmon-modular | Sysmon配置存储库,每个人都可以自定义 这是一个Microsoft Sysinternals Sysmon配置存储库,设置了模块化模块,以便于维护和生成特定配置。 在PowerShell脚本成功合并并且Sysmon在Azure Pipeline...
sysmon-config:Sysmon配置文件模板,具有默认的高质量事件跟踪
02-04
7. **Driver Load Events**:记录驱动程序加载对于检测恶意驱动或未授权驱动活动至关重要,因为驱动程序可以直接访问硬件并可能绕过安全防护。 8. **Hashing Algorithms**:Sysmon可以使用多种散列算法(如MD5、SHA...
Shhmon:通过驱动程序卸载消除Sys​​mon
02-05
Shhmon-Neuter Sysmon通过卸载其驱动程序Usage: Shhmon.exe 尽管可以在安装时重命名Sysmon驱动程序,但始终将其加载在385201高度上。此工具的目的是对我们的防御工具始终在收集事件的假设提出质疑。 Shhmon使用...
开源项目-guitmz-go-weather-indicator.zip
09-06
开源项目-guitmz-go-weather-indicator.zip,GTK weather indicator I wrote in GoLang, hope you find it interesting
PHP基于微信公众号的点餐系统源码.zip
10-03
用Yii2框架做的一个微信公众号点餐系统,商家接入管理后台之后就可以在后台添加菜式的类型和菜式的名称,客户在微信扫描二维码关注公众号就可以在公众号点餐,下单时提交餐桌号还有相应的信息到商家后台,商家在后台可以查看到订单信息 提示,因为个人原因缺乏支付功能,支付代码已经完成
基于Delaunay三角剖分的大学生方程式无人赛车路径规划算法
10-03
【作品名称】:基于Delaunay三角剖分的大学生方程式无人赛车路径规划算法 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【项目介绍】: 基于 Delaunay 三角剖分的路径规划算法:将锥桶位置视为离散点,构建 Delaunay 三角,然 - 第一列为锥桶序号,内外侧锥桶已经分别按照赛道顺序排序 - 第二列为锥桶类型(颜色),`2` 为外侧锥桶(蓝色,位于车辆行驶方向的左侧)、`11` 为内侧锥桶(黄色,位于车辆行驶方向的右侧) - 第三四列为 x 坐标与 y 坐标,单位为 [m] 在真实场景中,安装在赛车上的传感器的感知范围是有限的,并不能一次获取所有锥桶位置。因此,设计一个变量 `interval`,用于控制每次规划时考虑的锥桶数量。(换言之,将整条赛道划分为若干个路段,每次只在一个路段内进行规划。)如图所示,若 `i 【资源声明】:本资源作为“参考资料”而不是“定制需求”,代码只能作为参考,不能完全复制照搬。需要有一定的基础能够看懂代码,能够自行调试代码并解决报错,能够自行添加功能修改代码。
MATLAB 实现的基于随机森林(Random Forest, RF)的工业增加值预测模型的详细实例(包含详细的完整的程序和数据
10-03
主要内容:本文介绍了一个完整的案例,展示用MATLAB的TreeBagger函数实现基于随机森林的方法来进行工业增加值的预测。该模型考虑了生产总值、投资以及消费等因素,通过详细的操作步骤生成了相关数据,训练与评估了随机森林模型。文中还提供了完整的源代码和示例,方便开发者动手实践和学习如何利用统计和机器学习工具箱进行预测任务。 适用人群:熟悉基本MATLAB语法,具有一定数据分析经验和统计学基础知识的研发和工程技术人员。 使用场景及目标:适合用于工业经济分析师或者研究学者们在需要快速预测行业增长趋势时借鉴,特别当涉及到多因素复杂变量情况下时。 补充说明:此案例还包括划分训练集与验证集,计算如均方误差(RMSE)等评估指数帮助检验模型准确度的功能部分,便于初学者快速搭建模型,理解每个阶段的工作细节及其重要性。
基于Python的新能源汽车应用场景,使用神经网络训练锂离子电池使用相关数据并预测电池的当前最大容量.zip
10-03
基于Python的新能源汽车应用场景,使用神经网络训练锂离子电池使用相关数据并预测电池的当前最大容量
神经网络图的组成-深度学习.zip
10-03
神经网络图的组成-深度学习
基于Java和Vue的PMS酒店管理系统设计源码
10-03
该项目是一款基于Java和Vue技术的酒店管理系统源码,总计包含652个文件,其中Java源文件283个,Vue组件100个,SVG矢量图形88个,JavaScript脚本83个,XML配置文件33个,Vue模板文件13个,SCSS样式文件9个,批处理脚本7个,YAML配置文件5个,文本文件3个。系统采用前后端分离架构,前端使用Vue框架,后端采用Java语言,旨在为用户提供高效便捷的酒店管理解决方案。
Android仓库系统报告,项目背景+开发环境+详细设计+运行演示+心得体会,11295字论文,图文并茂,满分课程设计!
10-03
开发安卓仓库管理系统的项目背景是为了解决传统仓库管理方式的低效和不便。传统方式下,仓库管理人员通常使用纸质记录或手动记事本来记录货物进出、清点商品数量等信息,这种方式存在许多问题。首先,它是一种低效率的方式,需要大量的时间和精力进行手动记录,容易出现错误和遗漏。其次,手动记录容易出现笔误或遗漏,导致数据不准确,给仓库管理带来困扰。此外,纸质记录难以追溯和跟踪货物的进出历史,对于管理和调查问题存在困难。同时,手写记录的信息往往无法方便地分享和传递给其他相关人员。 因此,开发安卓仓库管理系统具有重要意义。首先,该系统能够提升仓库管理的效率。通过自动化记录和数据处理,系统减少了人力成本和时间成本,使仓库管理人员能够更快速、准确地记录货物的进出和清点商品数量。其次,系统能够提高数据的准确性。通过电子化记录和自动计算,避免了手动记录的错误和遗漏,确保仓库数据的准确性。此外,系统具有良好的追溯能力。它能够准确记录货物的进出历史和相关信息,管理人员可以方便地追溯和核查特定货物的流向和状态。 另外,安卓仓库管理系统提供了信息共享和协同的功能。不同的仓库管理人员可以通过系统实时获取和共享最新的数据,促进
基于asp.net的学生宿舍管理的设计与实现系统.docx
10-03
基于asp.net的学生宿舍管理的设计与实现系统.docx
MATLAB 项目示例,演示如何使用极限学习机(ELM)进行二分类问题的多特征分类预测(包含详细的完整的程序和数据)
10-03
内容概要:本示例详细介绍了使用MATLAB进行二分类问题多特征的极限学习机分类预测方法,包括数据生成、建立与训练极限学习机(ELM)模型及其性能评估过程,最后提供了全部的整合代码,展示了从数据准备到预测全流程的细节以及可视化的结果展现。 适用人群:适用于机器学习初学者、数据科学家以及有一定MATLAB编程经验的研究者。 使用场景及目标:旨在帮助读者理解和掌握ELM算法的基础概念及其实现方式,尤其是如何应用于解决二分类问题;并提供了一个完整、易懂的示例代码,方便实验操作。 其他说明:通过本例子能够直观看到训练效果以及不同的超参数选择对于最终模型表现力的影响。
基于C++核心的跨语言bloaty高效设计源码共享平台
10-03
本项目是一款以C++为核心技术的跨语言源码高效共享平台,集成了C、Shell、Python等多种编程语言支持,包含246个文件,涵盖23个头文件、21个C/C++源文件、20个测试文件、17个文本文件、13个二进制文件、6个Markdown文件、5个目标文件、4个调试信息文件、4个动态链接库文件、4个静态库文件。
基于Java与Vue的云上健步走微信小程序设计源码
10-03
该项目是一款基于Java与Vue技术栈的云上健步走微信小程序设计源码,共计包含833个文件,涵盖322个Java源文件、140个XML配置文件、102个SVG图形文件、101个Vue组件文件、88个JavaScript文件、5个HTML文件、5个PNG图片文件等。该小程序旨在推动青海市全民参与运动,庆祝党的二十大。用户可通过微信步数兑换里程积分,参与关卡解锁和红色文化知识学习。系统设有个人、队伍、团队三个排行榜及勋章解锁机制,旨在激发用户参与热情,共同传承红色文化。
基于模型预测控制(自带的mpc模块)和最优控制理论的Carsim与Matlab simulink联合仿真实现汽车主动避撞和跟车功
最新发布
10-03
基于模型预测控制(自带的mpc模块)和最优控制理论的Carsim与Matlab simulink联合仿真实现汽车主动避撞和跟车功能(acc自适应巡航),包含simulink模型(其中有车辆逆纵向动力学模型、逆发动机模型、切控制逻辑等),Carsim模型
华为杯研数赛学习记录_study-records.rar
10-03
华为杯研数赛学习记录_study-records
Go语言系统监控:神经网络驱动的sysmon教程
标题《系统监控-人工神经网络教程》可能是一个误解,因为内容并未涉及人工神经网络,而是聚焦于Go语言的内部实现——如何通过`sysmon`函数进行系统资源管理和调度。 文章首先介绍了Go语言中的调度器是如何运作的,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

潘俭渝Erik

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值