Shhmon-Neuter Sysmon通过卸载其驱动程序 Usage: Shhmon.exe 尽管可以在安装时重命名Sysmon的驱动程序，但始终将其加载在385201高度上。此工具的目的是对我们的防御工具始终在收集事件的假设提出质疑。 Shhmon使用以下策略定位并卸载驱动程序： 1.使用fltlib!FilterFindFirst和fltlib!FilterFindNext枚举系统上的驱动程序，以代替对注册表的爬网。 2a。 如果在海拔385201处找到了驱动程序，它将使用kernel