Sysmon驱动隐藏分析ppt
22年部门内部做的一次 Sysmon进程保护的研究分享,主要是基于 minifilter过滤和进程断链,实现对Sysmon进程、驱动、服务、文件等状态的隐藏。 这套解决方案还有很多问题,例如内核断链需要先想办法BypassPG (patch guard),每个版本Windows bypass 的兼容性问题等等。 我手上还有一套研究出来更稳定的方案,无需 bypass PG也能实现断链,可能泛滥被恶意利用所以没办法发出来。 另外还有一个基于VT的进程隐藏 + 进程保护的 Demo,看后续有没有机会整理出来。 pdf: Sysmon驱动保护:深度剖析进程隐藏的实现原理