FortisecValidation/Micro-Stager

# FORTiSEC Micro-Stager（概念验证） **框架 ADEF v2.0 - 公开发布版** ## 概述 本仓库包含 **Micro-Stager** 的官方概念验证 (PoC)，这是 FORTiSEC 开发的一种高级攻击工程技法。它通过物理 CPU 操作绕过 **Windows 威胁情报事件跟踪 (ETW TI)** 和 **AMSI**，揭示了受管环境遥测架构中的一个关键漏洞。 传统的规避技术仅关注初始访问或内存修补，而真正的攻击验证需要评估整个 MITRE ATT&CK 生命周期中的完整 EDR 架构。本研究揭示了现代安全生态系统中的一个深层架构痛点 (DOLOR)：对 Ring 0 遥测的盲目信任。 ## 技术机制 `FORTiSEC_MicroStager_PoC.ps1` 脚本在 P/Invoke 操作期间绕过了 `nt!EtwTiLogSetContextThread` 内核传感器，而不会导致 .NET 公共语言运行时 (CLR) 崩溃。它通过一个四阶段协调执行过程实现此目的： 1. **内存锻造：** 分配一个 2 字节的 Micro-Stager (`0xCC` / `0xC3`) 并注册一个向量化异常处理程序 (VEH)。 2. **受控混沌：** 触发软件断点 (`INT 3`)，强制内核异常分派器捕获线程的 `CONTEXT_RECORD`。 3. **上下文劫持：** VEH 拦截异常，修改调试寄存器 (`Dr0`, `Dr1`, `Dr2`) 以针对 `NtTraceEvent`、`NtTraceControl` 和 `AmsiScanBuffer`，并推进指令指针 (`RIP`)。 4. **系统自摆乌龙：** 内核在收到 `EXCEPTION_CONTINUE_EXECUTION` 后原生应用硬件更改，在不触发 ETW TI 警报的情况下，悄无声息地屏蔽了遥测传感器。 此外，PoC 在内存中实现了动态字符串反转，以成功绕过现代防病毒解决方案（例如 Windows Defender）的静态预执行模拟器。 ## 使用 / 演示 此脚本是一个**安全 PoC**。它不执行任何恶意内存访问或数据窃取。其唯一目的是通过在完全硬件静默的 PowerShell 会话中评估官方 Microsoft AMSI 测试样本签名来演示遥测盲区。 1. 克隆仓库。 2. 打开一个标准的 `powershell.exe` 会话（支持版本 5.1+）。 3. 执行脚本： ``` .\FORTiSEC_MicroStager_PoC.ps1 ``` 4. 观察 AMSI 签名的干净评估结果，以及在您的 EDR 控制台中没有 ETW TI 上下文注入日志。 ## 文档 要深入了解 Windows 内部机制、CLR 崩溃综合症以及此规避技术的理论基础，请阅读完整的技术白皮书：**静默硅芯：通过受控异常在受管环境中规避 ETW TI** https://medium.com/@adrianceperocorcho/silencing-the-silicon-etw-ti-evasion-in-managed-environments-via-controlled-exceptions-the-0a0294444000 ## 媒体与视频演示 若要查看遥测屏蔽、EDR 结构完整性测试以及我们实验框架下实时绕过证明的逐步可视化分析，请查阅我们的官方视频资源： 🎥 第 1 集：遥测幻象：我们如何盲化您的 EDR https://www.youtube.com/@Fortisec-Validation ## 免责声明 仅供教育和研究目的。此工具提供给安全研究人员、红队和蓝队，以验证防御姿态并提高端点传感器的弹性。FORTiSEC 对在未经授权环境中误用此代码不承担任何责任。请始终在受控的实验室环境内或根据明确的、授权的参与规则严格操作。

标签：AI合规, AMSI逃逸, ETW绕过, FORTiSEC框架, Libemu, .NET框架, PowerShell脚本, SIP, Windows内核, 事件跟踪, 内存操作, 内核劫持, 分布式计算, 威胁情报, 安全绕过, 开发者工具, 异常处理, 恶意软件扫描接口, 情报收集, 概念证明, 漏洞研究, 白帽子, 硬件断点, 私有化部署, 红队技术, 网络安全, 调试技术, 进攻性安全, 遥测盲化, 邮件钓鱼, 防御规避, 隐私保护