推荐开源项目:Shhmon - 静默移除Sysmon驱动程序的工具
ShhmonNeutering Sysmon via driver unload项目地址:https://gitcode.com/gh_mirrors/sh/Shhmon
1、项目介绍
Shhmon是一个小巧而强大的工具,旨在悄无声息地卸载系统监控工具Sysmon的驱动程序。它利用特定的枚举和权限调整策略,寻找并终止Sysmon的监视行为。对于那些希望测试或研究安全防御工具有时可能面临的挑战的人来说,Shhmon提供了一个独特且实用的方法。
2、项目技术分析
Shhmon的工作原理相当精妙:
- 它使用
fltlib!FilterFindFirst
和fltlib!FilterFindNext
遍历系统中的驱动程序,而不是直接查询注册表。 - 如果在海拔385201处发现Sysmon驱动,Shhmon会通过
kernel32!OpenProcessToken
和advapi32!AdjustTokenPrivileges
赋予自身SeLoadDriverPrivilege
权限。 - 若未在指定高度找到驱动,则扫描
HKLM\SYSTEM\CurrentControlSet\Services
下的"Sysmon Instance"子键,并执行上述步骤。 - 获得必要权限后,调用
fltlib!FilterUnload
卸载驱动。
这一流程巧妙地避开了传统方法,使得操作更加隐蔽。
3、项目及技术应用场景
Shhmon适用于以下场景:
- 安全研究人员:用于测试系统监测工具的有效性和应对措施。
- 系统管理员:评估和改善系统防御策略,确保在面对恶意攻击时能保持敏锐的洞察力。
- 教育与培训:在实战演练中,帮助学员理解如何规避特定的安全防护机制。
4、项目特点
- 高效查找:采用枚举驱动而非传统注册表搜索,提高了效率。
- 权限管理:智能获取必要的权限来卸载驱动,避免引起过多系统警报。
- 清晰的日志:相关事件如错误消息、驱动卸载记录等,有助于识别和调查。
- 应用场景广泛:既可作为攻击模拟工具,也可用于防守端的漏洞测试。
遵循MITRE ATT&CK框架的T1054和T1089,Shhmon为深入理解这些技术和攻击手法提供了便利。
简而言之,Shhmon是针对Sysmon防御机制的一个独特视角,其创新的技术和巧妙的应用场景,无论对于安全专业人士还是对安全领域感兴趣的个人,都值得尝试和学习。立即加入,亲身体验这一开源项目的魅力吧!
ShhmonNeutering Sysmon via driver unload项目地址:https://gitcode.com/gh_mirrors/sh/Shhmon