2022年04月03日
关于FalconEye
FalconEye是一款功能强大的Windows终端安全检测工具,可以帮助广大研究人员实时检测Windows进程注入行为。FalconEye也是一个内核模式驱动工具,旨在实现实时的进程注入行为。由于FalconEye需要以内核模式运行,它可以提供一个强大可靠的安全防御机制来抵御那些尝试绕过各种用户模式钩子的进程注入技术。
工具架构
FalconEye驱动器是一种按需加载的驱动程序;
初始化包括通过libinfinityhook设置回调和syscall