文章
Kernel ETW 是最好的 ETW
这项研究侧重于原生审计日志在安全设计软件中的重要性,强调需要使用内核级 ETW 日志而不是用户模式钩子,以增强防篡改保护。
加倍努力:使用内核 ETW 调用堆栈检测内存中的威胁
在 Elastic Security 8.11 中,我们添加了更多基于内核遥测调用堆栈的检测,以提高针对内存中威胁的功效。
有效的父进程:检测基于 LRPC 的父进程 PID 欺骗
以进程创建为例,这项研究将概述迄今为止的规避检测军备竞赛,描述当前某些检测方法的弱点,然后探讨一种针对基于 LRPC 的规避的通用方法。
Get-InjectedThreadEx – 检测线程创建跳转表
在本博客中,我们将演示如何检测四种类型的进程跳转,并发布更新的 PowerShell 检测脚本 – Get-InjectedThreadEx。