github:dc5K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6i4f1f1q4d9d9#2)9J5c8W2N6c8b7g2u0w2i4K6u0W2k6$3W2@1

反馈群:811651711 反馈:3992383998

1.进程: 遍历进程 遍历隐藏进程 挂起/恢复进程 结束进程 注入进程(支持被权限保护的进程注入) 进程校验 遍历线程 遍历隐藏线程 挂起/恢复线程 结束线程 遍历模块 拷贝模块内存 隐藏模块 卸载模块 提取扫描字符串 遍历内存 修改保护属性 提取内存字符串 遍历句柄 关闭句柄

2.驱动 遍历驱动 遍历隐藏驱动 遍历内存驱动(支持多块内存区域) 拷贝驱动模块 拷贝内核内存 查看IRP函数 提取驱动字符串 驱动加载与卸载痕迹 驱动校验

3.钩子 遍历SSDT,Inline,Iat钩子 恢复Inline,Iat钩子 遍历ShaowSSDT,Inline,Iat钩子 恢复Inline,Iat钩子 遍历Object对象钩子 恢复Object对象钩子 遍历进程钩子Inline,Iat,Eat钩子 恢复Inline,Iat,Eat钩子 遍历驱动钩子Inline,Iat,Eat钩子 恢复Inline,Iat,Eat钩子

4.内核层 系统回调遍历(进程,线程,模块,注册表,关机回调,蓝屏回调,文件回调) 系统回调删除(进程,线程,模块,注册表,关机回调,蓝屏回调,文件回调) DPC定时器遍历 DPC定时器删除 IO定时器开启 IO定时器停止 IO定时器删除 IO定时器校验 系统线程遍历 系统线程挂起 系统线程恢复 系统线程结束 系统线程校验 工作线程遍历 工作线程挂起 设备树遍历 Attach设备删除 扫描内核内存 Nmi遍历 Nmi删除

5.监控 监控内核ShellCode运行(模糊定位运行中无模块驱动) 监控进程创建 线程创建行为 监控注入操作 监控驱动创建 监控注册表行为 监控网络行为 监控文件行为

6.文件 遍历MiniFilter回调

7.网络 遍历WfpCallBack 遍历WfpFilter 遍历连接中的网络