Telemetry Sourcerer:揭秘监控数据的魔法大师

最新推荐文章于 2024-05-26 09:58:27 发布
最新推荐文章于 2024-05-26 09:58:27 发布
阅读量259 收藏 6
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00093/article/details/138997556
版权

Telemetry Sourcerer:揭秘监控数据的魔法大师

项目地址:https://gitcode.com/jthuraisamy/TelemetrySourcerer

Wizard with Wand

项目简介

Telemetry Sourcerer是一款专为Windows设计的工具,它能枚举并禁用常见的反病毒(AV)和终端保护防御(EDR)系统的监控源。该工具旨在帮助红队成员和安全爱好者在实验室环境中:

  • 发现产品收集数据时的盲点。
  • 确定特定类型的事件是由哪些监控源产生的。
  • 验证利用其篡改功能是否会触发检测。

同时,参考作者的博客文章 "Diverting EDR Telemetry to Private Infrastructure",你可以了解如何构建私有实验室进行更深入的实验。

OPSEC警告:虽然在特定环境中可能直接使用,但任何未经修改的进攻性安全工具有其操作风险。建议将该项目的代码整合到你自己的工具链中,并结合其他技巧以降低操作足迹。

技术亮点

  • 枚举并可抑制各种内核模式回调。
  • 检测并解除进程内的内联用户模式钩子。
  • 列出ETW会话和提供程序,突出显示可能相关的选项以便禁用。

应用场景截图

Screenshot 1 Screenshot 2 Screenshot 3

使用指南

  1. 下载最新版本
  2. 解压文件。
  3. 以管理员权限运行可执行文件。

内核模式回调

要查看内核模式回调,需以管理员权限运行带有加载驱动程序的工具。由于驱动程序未签名,你可以启用测试签名模式、临时禁用驱动程序签名强制(DSE),或者用有效证书签署驱动程序:

测试签名模式
  1. 关闭BitLocker和Secure Boot。
  2. 打开一个提升权限的命令提示符窗口。
  3. 输入bcdedit.exe -set TESTSIGNING ON
  4. 重启系统。
  5. 以管理员权限运行Telemetry Sourcerer。
使用KDU禁用DSE
  1. git clone https://github.com/hfiref0x/KDU.git
  2. 打开一个提升权限的命令提示符窗口。
  3. 输入kdu -dse 0来禁用DSE。
  4. 以管理员权限运行Telemetry Sourcerer。
  5. 输入kdu -dse 6来启用DSE。

此选项可能与Windows 8.1及更高版本中的KPP不兼容。

签名驱动
  1. 获取来自Windows SDK的SignTool和Microsoft Docs上的适当cross-certificate
  2. 运行signtool sign /a /ac "cross-cert.cer" /f "cert.pfx" /p "密码" TelemetrySourcererDriver.sys
  3. 以管理员权限运行Telemetry Sourcerer。

注意事项与限制

  • 本工具仅用于研究,不适合作为生产环境的OPSEC安全工具。
  • 使用Visual Studio 2019和Windows 10 SDK(10.0.19041.0)、WDK(2004)编译。
  • 目前不检查IAT/EAT用户模式钩子或内核模式钩子。
  • 驱动程序尚未充分测试滥用情况。
  • 只在Windows 7和10(x64)上进行了测试。

致谢

Telemetry Sourcerer由@Jackson_T开发,但也得益于以下人员的工作:

相关文章和项目

  • @matterpreter:《Mimidrv深度解析:探索Mimikatz的内核驱动》。
  • @fdiskyou:《Windows内核Ps回调实验》。
  • @matteomalvica:《让EDR安静下来:禁用进程、线程和图像加载检测回调》。
  • @0x00dtm:《对抗用户模式钩子(附带Bitdefender案例)》(代码)。
  • @palantir:《篡改Windows事件跟踪:背景、攻击与防御》。

许可证

此项目遵循Apache许可证2.0版。

结论

Telemetry Sourcerer是一把揭示监控奥秘的魔法钥匙,提供了一个独特且直观的方式,让我们深入了解Windows操作系统下的数据监控。无论你是想要增强你的红队技能,还是热衷于安全研究,这个开源工具都能提供宝贵的洞见和实验平台。立即下载并开始你的神秘之旅吧!

项目地址:https://gitcode.com/jthuraisamy/TelemetrySourcerer

gitblog_00093
关注
  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
使用(telemetry)ceilometer+gnocchi对openstack云平台监控数据采集和处理的实践与优化
代码讲故事
08-18 783
使用(telemetry)ceilometer+gnocchi对openstack云平台监控数据采集和处理的实践与优化。 在做openstack资源统计监控中通过 (telemetry)ceilometer+gnocchi 获取cpu、memory的使用率,获取VM虚拟机网卡数据流量统计,虚拟机多网卡分别获取流量统计以及针对虚拟机实例进行总的流量统计。一般来说,可以对openstack中的vm虚拟机和compute node 计算节点的各类进行统计、分析和预警,比如:cpu、mem..
cf-telemetry-viz:cf遥测数据的用户界面
05-12
该项目是由“ cf-telemetry”提供的遥测数据的简单UI 它期望src / telemetry文件夹中的遥测数据(json)。 它还需要遥测数据文件上的.json扩展名。 这应该在Linux / Mac上运行,并具有遥测tar文件的正确路径: tar -xvf telemetry-output.tar -C src/telemetry find ./src/telemetry -type f -print0 | xargs -0 -I{} mv "{}" "{}".json 该项目是通过引导的。 可用脚本 在项目目录中,可以运行: npm start 在开发模式下运行应用程序。 打开在浏览器中查看它。 如果您进行编辑,则页面将重新加载。 您还将在控制台中看到任何棉绒错误。 npm test 在交互式监视模式下启动测试运行器。 有关更多信息,请参见关于的部分。 npm
flight-telemetry-display:提供实时遥测数据的可视化和统计信息
05-06
飞行遥测显示 顾名思义,这是一个用于显示和重放从我们各种火箭平台收集来的工具。 安装 下载并安装最新版本的python。 可以在找到。 打开您选择的终端(命令提示符,Powershell等)并运行: pip install asyncio websockets pyserial aiohttp aiohttp-jinja2 pyinstaller psutil pypng pyqrcode 使用git工具获取项目伦理的副本,或直接从repo网站下载。 如果您已经下载了zip文件,则将其解压缩并在解压缩的文件夹目录中打开终端。 在src / dist文件夹中将包含一个可移植的可执行文件,该文件可以在任何10或更高版本的Windows计算机上运行。 如果您已经安装了pip和python。 运行位于src文件夹中的install bat脚本文件,这将完成其余的安装。 如果上一步成功,
telemetry-dashboard:Web前端,用于收集遥测数据
05-13
遥测仪表板 该存储库包含的源代码。 该网站上的仪表板可用于从检查度量值到找出导致Firefox挂起的常见原因的所有内容。 上的主要仪表板使用消耗来自Telemetry后端的数据。 不使用Telemetry.js的仪表板通常使用定期在S3上发布数据的。 这些的源代码可以在它们各自的存储库中找到。 该存储库还包含Telemetry.js的源代码。 特定文件可在v2/目录下找到。 部署遥测仪表板 网站托管在,因此也可以通过进行访问。 在Github Pages的前面,还有CloudFront CDN(由:whd管理)。 稍后,对gh-pages分支(也是默认分支)的更新将反映在。 使用Telemetry.js 查看文档! 添加遥测探头 请参阅此,其中概述了将新的遥测探针添加到Firefox并与仪表板一起使用的过程和详细信息。 要设置直方图属性,请确保签出,这可能有助于设计与预期数据
Telemetry:滥用WINDOWS遥测以实现持久性
04-14
遥测 背景 是Windows持久性的C# 今天,我们将讨论一种持久性方法,该方法利用了Microsoft过去十年在Windows版本中包含的一些出色的遥测技术。 本地管理员的安装权限(要求具有写入HKLM的能力) 有CompatTelRunner.exe 2008R2 / Windows 7至2019 / Windows 10 优势 使用系统自己的遥测计划任务 仅注册表可疑后门故障排除 命令行用法 ABUSING WINDOWS TELEMETRY FOR PERSISTENCE .Imanfeng Features: Install: - Deployment authority maintains backdoor Command:
Telemetry:WINDOWS TELEMETRY权限维持
03-18
遥测 背景 是Windows持久性的C# 今天,我们将讨论一种持久性方法,该方法利用了Microsoft过去十年在Windows版本中包含的一些出色的遥测技术。 本地管理员的安装权限(要求具有写入HKLM的能力) 有CompatTelRunner.exe 2008R2 / Windows 7至2019 / Windows 10 优势 使用系统自己的遥测计划任务 仅注册表可疑后门故障排除 命令行用法 ABUSING WINDOWS TELEMETRY FOR PERSISTENCE .Imanfeng Features: Install: - Deployment authority maintains backdoor Command:
Telemetry网络监控技术讲解
m0_49864110的博客
01-04 6338
以gRPC订阅推送为例子设备通过Yang模型捕获可获取的数据信息(数据源)然后将这些数据通过GPB结合.proto文件进行编码(数据生成)采集器通过gRPC进行数据订阅(数据订阅)设备通过gRPC将编码数据推送到订阅的采集器中(数据推送)采集器再根据通过GPB结合.proto文件进行解码(此文件要和GPB的.proto文件一致)举个订外卖的例子便于理解:YANG是个快餐店的菜谱,顾客想吃汉堡和炸鸡便照着YANG菜单写了一份A4纸采购清单(如一份汉堡,两份炸鸡)
探索Tesla Fleet Telemetry:实现安全的车辆遥测数据
gitblog_00036的博客
05-20 395
探索Tesla Fleet Telemetry:实现安全的车辆遥测数据流 项目地址:https://gitcode.com/teslamotors/fleet-telemetry 项目介绍 Tesla Fleet Telemetry 是一个参考实现服务器,允许特斯拉车主及其应用程序安全地直接接收来自其车辆的遥测数据。这个项目特别适用于个人车主和车队管理运营商,后者可以扩展它以聚合整个车队的数据。 ...
Telemetry原理
里晓山的博客
11-29 7307
举个订外卖的例子便于理解:YANG是个快餐店的菜谱,顾客想吃汉堡和炸鸡便照着YANG菜单写了一份A4纸采购清单(如一份汉堡,两份炸鸡),将清单折成邮票大小的小纸条装到了GPB信封里,找到门口的信使gRPC,信使gRPC骑上HTTP2电动车到了快餐店。利用telemetry技术,采集器可以收集到大量的设备数据,然后将数据交给分析器进行综合分析,分析器将决策结果发送给控制器,由控制器调整设备的配置,便可以几乎实时的反馈调整后的设备状态是否符合预期。动态订阅是指设备作为服务端,采集器作为客户端发起到设备的连接。
Intel® Developer Cloud Telemetry数据分析 (一)
英特尔边缘计算社区
03-14 3785
Telemetry(遥测)是指帮助开发者收集应用程序执行时开发者指定的信息,并通过UI 的形式展现的功能,该功能可以被启动或关闭。Intel® Developer Cloud提供的遥测指标,包括有关计算设备运行状态和应用运行数据。在Intel® Developer Cloud的部分实例调用了Telemetry Dashboard模块,我们可以通过运行这块单元格来查看边缘节点上运行应用过程中实际数据,这些数据对于想要为其应用程序做出数据驱动决策以确定适合其解决方案的最佳硬件的用户来说是很有参考价值的。
Intel Developer Cloud Telemetry数据分析(二)
英特尔边缘计算社区
03-14 3276
上一篇文章我介绍了Intel® Developer Cloud Telemetry的概念和功能,通过该功能的数据分析,可以更好地优化产品方案。有关Telemetry 的工作原理和集成方法,我将在这篇文章里细细解释。耐心看下去,相信您肯定可以在自己应用中开启这个功能。
Kubernetes高可用性监控:Thanos的部署
琦彦
09-05 4663
原文发表于kubernetes中文社区,为作者原创翻译,原文地址 更多kubernetes文章,请多关注kubernetes中文社区 目录 介绍 对Prometheus高可用性的需求 实现 Thanos架构​ Thanos包含以下组件: 重复数据删除 Thanos搭建 先决条件 组件部署 部署Prometheus中的ServiceAccount资源对象,分别创建Clusterrole和Clusterrolebinding 部署Prometheus配置文件configmap.y..
实验五:Telemetry静态订阅实验
CMU2018的博客
06-23 2270
随着SDN网络的设备规模日益增大,承载的业务越来越多,用户对SDN网络的智能运维提出了更高的要求,包括监控数据的采样周期拥有更高的精度以便及时检测和快速调整微突发流量,同时监控过程要对设备自身功能和性能影响小以便提高设备和网络的利用率。传统网络监控方式(如SNMP get和CLI),因存在如下不足,管理效率越来越低,已不能满足用户需求的演进: 通过拉模式来获取设备的监控数据,不能监控大量网络节点,限制了网络增长。监控数据的采样周期精度是分钟级别,只能依靠加大查询频度来提升获取数据的准确性,但是这样会导致网络
探索Polkadot Telemetry:实时监控数据洞察的前沿工具
gitblog_00075的博客
05-26 288
探索Polkadot Telemetry:实时监控数据洞察的前沿工具 项目地址:https://gitcode.com/paritytech/substrate-telemetry 项目简介 Polkadot Telemetry 是一个由Rust构建的强大工具,用于收集和展示基于Substrate的节点信息。它由两个核心组件组成:telemetry_shard 和 telemetry_core,...
基于业务逻辑生成特征变量python实现源码+数据集+超详细注释.zip
05-31
【优质项目推荐】 1、项目代码均经过严格本地测试,运行OK,确保功能稳定后才上传平台。可放心下载并立即投入使用,若遇到任何使用问题,随时欢迎私信反馈与沟通,博主会第一时间回复。 2、项目适用于计算机相关专业(如计科、信息安全、数据科学、人工智能、通信、物联网、自动化、电子信息等)的在校学生、专业教师,或企业员工,小白入门等都适用。 3、该项目不仅具有很高的学习借鉴价值,对于初学者来说,也是入门进阶的绝佳选择;当然也可以直接用于 毕设、课设、期末大作业或项目初期立项演示等。 3、开放创新:如果您有一定基础,且热爱探索钻研,可以在此代码基础上二次开发,进行修改、扩展,创造出属于自己的独特应用。 欢迎下载使用优质资源!欢迎借鉴使用,并欢迎学习交流,共同探索编程的无穷魅力! 基于业务逻辑生成特征变量python实现源码+数据集+超详细注释.zip基于业务逻辑生成特征变量python实现源码+数据集+超详细注释.zip基于业务逻辑生成特征变量python实现源码+数据集+超详细注释.zip基于业务逻辑生成特征变量python实现源码+数据集+超详细注释.zip基于业务逻辑生成特征变量python实现源码+数据集+超详细注释.zip基于业务逻辑生成特征变量python实现源码+数据集+超详细注释.zip基于业务逻辑生成特征变量python实现源码+数据集+超详细注释.zip 基于业务逻辑生成特征变量python实现源码+数据集+超详细注释.zip 基于业务逻辑生成特征变量python实现源码+数据集+超详细注释.zip
六一儿童节快乐!(六一儿童节庆祝代码)Vue开发
最新发布
05-31
六一儿童节快乐!(六一儿童节庆祝代码)Vue开发 like Project setup npm install Compiles and hot-reloads for development npm run serve Compiles and minifies for production npm run build Lints and fixes files npm run lint Customize configuration
uniapp聊天工具源码.zip
05-31
提供的源码资源涵盖了安卓应用、小程序、Python应用和Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码中配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程中,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码中的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。
NX二次开发uc1603 函数介绍
05-31
NX二次开发uc1603 函数介绍,Ufun提供了一系列丰富的 API 函数,可以帮助用户实现自动化、定制化和扩展 NX 软件的功能。无论您是从事机械设计、制造、模具设计、逆向工程、CAE 分析等领域的专业人士,还是希望提高工作效率的普通用户,NX 二次开发 Ufun 都可以帮助您实现更高效的工作流程。函数覆盖了 NX 软件的各个方面,包括但不限于建模、装配、制图、编程、仿真等。这些 API 函数可以帮助用户轻松地实现自动化、定制化和扩展 NX 软件的功能。例如,用户可以通过 Ufun 编写脚本,自动化完成重复性的设计任务,提高设计效率;或者开发定制化的功能,满足特定的业务需求。语法简单易懂,易于学习和使用。用户可以快速上手并开发出符合自己需求的 NX 功能。本资源内容 提供了丰富的中英文帮助文档,可以帮助用户快速了解和使用 Ufun 的功能。用户可以通过资源中的提示,学习如何使用 Ufun 的 API 函数,以及如何实现特定的功能。
ModuleNotFoundError: No module named 'telemetry.core'
04-13
ModuleNotFoundError: No module named 'telemetry.core' 是一个Python错误,表示在你的代码中找不到名为 'telemetry.core' 的模块。 这个错误通常发生在你尝试导入一个不存在的模块时。可能有以下几个原因导致这个错误: 1. 模块名称拼写错误:请检查你导入模块的名称是否正确,包括大小写和拼写。 2. 模块未安装:如果你确信模块名称拼写正确,那么可能是因为你没有安装该模块。你可以使用 pip 命令来安装缺失的模块。例如,使用命令 `pip install telemetry` 来安装名为 'telemetry' 的模块。 3. 模块路径问题:如果你的代码中使用了自定义的模块,可能是因为模块所在的路径没有正确添加到 Python 解释器的搜索路径中。你可以通过将模块所在的路径添加到 sys.path 列表中来解决这个问题。 希望以上解答对你有帮助!如果还有其他问题,请继续提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gitblog_00093

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值