injectEtwBypass 项目下载及安装教程

1. 项目介绍

injectEtwBypass 是一个用于绕过 ETW（Event Tracing for Windows）的开源项目。该项目通过使用 Syscalls（HellsGate 和 HalosGate 技术）将 ETW 绕过注入到远程进程中。它主要用于 Cobalt Strike 的 Beacon Object Files (BOF)，帮助渗透测试人员在执行操作时绕过 ETW 的检测。

2. 项目下载位置

要下载 injectEtwBypass 项目，请访问项目的 GitHub 仓库。你可以通过以下步骤进行下载：

1. 打开终端或命令提示符。
2. 使用 git clone 命令下载项目：

git clone https://github.com/boku7/injectEtwBypass.git

3. 项目安装环境配置

在安装 injectEtwBypass 之前，你需要确保你的系统环境已经配置好以下工具和库：

• Git：用于克隆项目仓库。
• MinGW-w64：用于编译 C 代码。
• Cobalt Strike：用于加载和运行 BOF 文件。

环境配置示例

以下是配置环境的步骤：

1. 安装 Git：

   • 下载并安装 Git 工具。
   • 配置 Git 环境变量。

2. 安装 MinGW-w64：

   • 下载并安装 MinGW-w64。
   • 配置 MinGW-w64 环境变量。

3. 安装 Cobalt Strike：

   • 下载并安装 Cobalt Strike。
   • 配置 Cobalt Strike 环境变量。

环境配置图片示例

4. 项目安装方式

安装 injectEtwBypass 项目的步骤如下：

1. 克隆项目：

   • 使用 git clone 命令克隆项目到本地。

2. 编译项目：

   • 进入项目目录。
   • 使用 MinGW-w64 编译项目：

cd injectEtwBypass
x86_64-w64-mingw32-gcc -m64 -mwindows -c injectEtwBypass.c -o injectEtwBypass.o \
-masm=intel -Wall -fno-asynchronous-unwind-tables -nostdlib -fno-ident -Wl,-Tlinker.ld --no-seh

3. 加载 BOF 文件：
   • 将编译生成的 injectEtwBypass.o 文件加载到 Cobalt Strike 中。
   • 使用 Cobalt Strike 的 Script Manager 加载 injectEtwBypass.cna 脚本。

5. 项目处理脚本

injectEtwBypass 项目包含以下主要脚本和文件：

• injectEtwBypass.c：项目的核心 C 代码，用于实现 ETW 绕过。
• injectEtwBypass.o：编译后的二进制文件，用于在 Cobalt Strike 中加载。
• injectEtwBypass.cna：Cobalt Strike 的 BOF 脚本，用于加载和执行 injectEtwBypass.o 文件。

处理脚本示例

以下是处理脚本的示例：

# 编译脚本
x86_64-w64-mingw32-gcc -m64 -mwindows -c injectEtwBypass.c -o injectEtwBypass.o \
-masm=intel -Wall -fno-asynchronous-unwind-tables -nostdlib -fno-ident -Wl,-Tlinker.ld --no-seh

# 加载脚本
beacon> injectEtwBypass 8968

通过以上步骤，你可以成功下载、安装并使用 injectEtwBypass 项目。