TamperETW:PoC演示如何篡改CLR ETW事件

坦佩ETW 概念验证，演示如何过滤/篡改CLR ETW事件 MDSec的亚当·切斯特（Adam Chester）（@_xpn_）最近涉及红队如何通过禁用.NET ETW遥测来隐藏.NET程序集的负载。 在他的博客中，他包含了概念证明代码，该代码演示了如何通过修补本机EtwEventWrite函数来取消ETW遥测。 根据他的研究，我编写了一个x64版本/概念证明，它使用本机系统调用在EtwEventWrite函数上放置一个内联挂钩。 通过钩住EtwEventWrite并将程序流重定向到我们的自定义MyEtwEventWrite函数，我们可以拦截函数参数并检查或更改数据（EVENT_DESCRIPTOR和EVENT_DATA_DESCRIPTOR数据结构）。 然后，我们使用本机EtwEventWriteFull函数有选择地转发.NET ETW事件。 在此PoC中，我们阻止发送一些ETW（C