TelemetrySourcerer 开源项目教程
项目地址: https://gitcode.com/gh_mirrors/te/TelemetrySourcerer 项目介绍
TelemetrySourcerer 是一个用于枚举和禁用 Windows 上 AV/EDR 使用的常见遥测源的工具。红队成员和安全爱好者可以在实验室环境中使用此工具来:
- 识别产品中的基于收集的盲点
- 确定哪些遥测源生成特定类型的事件
- 验证使用工具的篡改功能是否会导致检测
项目快速启动
克隆项目
首先,克隆 TelemetrySourcerer 项目到本地:
git clone https://github.com/jthuraisamy/TelemetrySourcerer.git
构建项目
使用 Visual Studio 2019 打开 TelemetrySourcerer.sln 文件,并构建项目。确保使用 Windows 10 SDK (10.0.19041.0) 和 WDK (2004)。
运行项目
以管理员权限运行 TelemetrySourcerer:
TelemetrySourcerer.exe
应用案例和最佳实践
应用案例
- 红队演练:在模拟攻击中使用 TelemetrySourcerer 来测试目标系统的防御能力。
- 安全研究:研究 AV/EDR 产品的遥测机制,以更好地理解其工作原理和潜在弱点。
最佳实践
- 实验室环境:始终在隔离的实验室环境中使用 TelemetrySourcerer,避免在生产环境中使用。
- 操作安全:在使用任何攻击性安全工具时,始终考虑操作安全(OPSEC)风险。
典型生态项目
- KDU (Kernel Driver Utility):用于加载和卸载内核驱动程序,与 TelemetrySourcerer 结合使用可以增强其功能。
- Sysmon:系统监视工具,可以与 TelemetrySourcerer 结合使用来监控和分析系统事件。
通过以上步骤和建议,您可以有效地使用 TelemetrySourcerer 进行安全研究和红队演练。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
