坦佩ETW 概念验证，演示如何过滤/篡改CLR ETW事件 MDSec的亚当·切斯特（Adam Chester）（_xpn_）最近涉及红队如何通过禁用.NET ETW遥测来隐藏.NET程序集的负载。 在他的博客中，他包含了概念证明代码，该代码演示了如何通过修补本机EtwEventWrite函数来取消ETW遥测。 根据他的研究，我编写了一个x64版本/概念证明，它使用本机系统调用在EtwEventWrite函数上放置一个内联挂钩。 通过钩住EtwEventWrite并将程序流重定向到我们的自定