22年部门内部做的一次 Sysmon进程保护的研究分享,主要是基于 minifilter过滤和进程断链,实现对Sysmon进程、驱动、服务、文件等状态的隐藏。
这套解决方案还有很多问题,例如内核断链需要先想办法BypassPG (patch guard),每个版本Windows bypass 的兼容性问题等等。
我手上还有一套研究出来更稳定的方案,无需 bypass PG也能实现断链,可能泛滥被恶意利用所以没办法发出来。
另外还有一个基于VT的进程隐藏 + 进程保护的 Demo,看后续有没有机会整理出来。