EtwTiViewer

EtwTiViewer 是一个用于实时探索 Windows 内核威胁情报遥测的 ETW 事件查看器，帮助研究人员分析商业 EDR 系统依赖的相同信号。该项目使用 C++ 开发，主要功能包括实时监控 Microsoft-Windows-Threat-Intelligence ETW 提供程序发出的安全相关操作，如跨进程内存分配、保护更改、线程上下文设置等。适用于需要深入了解 Windows 内核安全机制的研究和教育场景，但需注意该工具运行时要求内核调试环境及测试签名驱动，并建议仅在隔离的虚拟机中使用。