TelemetrySourcerer:枚举和禁用AVEDR使用的常见遥测源

遥测信号源 介绍 Telemetry Sourcerer可以枚举和禁用Windows上的AV / EDR使用的常见遥测源。 红色团队和安全爱好者可以在实验室环境中使用此工具来： 确定他们所面对的产品中基于集合的盲点。 确定哪些遥测源会生成特定类型的事件。 验证使用该工具的篡改功能是否可以导致检测。 有关建立私有实验室的详细信息，请考虑阅读我的文章“将 。 OPSEC警告：尽管可以在目标环境中使用此工具，但是按原样使用任何攻击性安全工具都存在OPSEC风险。您可以改用该项目中的代码到您自己的工具中以供操作使用，并与其他技术结合使用以减少其创建的占用空间。 特征 枚举具有抑制功能的各种内核模式回调。 检测进程中的内联用户模式挂钩，并具有取消挂钩的能力。 列出ETW会话和提供程序，同时突出显示要禁用的潜在相关会话和提供程序。 屏幕截图 使用说明 下载。 提取文件。 启动可执行文件（针对内核模式