الصفحة الرئيسية>المتعلقة بالبرمجة>شفرة المصدر الأخرى
تنزيل

متشابكة النبيذ

هذا المستودع هو التحقيق في تقنيات تنفيذ عملية Windows. يتم إعطاء معظم POCs اسم المقابل للتقنية.

المشاريع

  • blockingdll: مجموعة الأدوات هذه هي اختبار عملية حظر DLL. انظر readme.md.

  • CloneProcess: هذا الدليل مخصص للعملية وانعكاس. انظر readme.md.

  • commandlinespoofing: هذا POC ينفذ سطر الأوامر الخداع. قد لا تعمل هذه التقنية مع Windows 11.

  • DarkloadLibrary: POCs في هذا الدليل مخصصة لاختبار مكتبة الحمل المظلم الذي يتم إصداره بواسطة _batsec_. انظر readme.md

  • Ghostlyhollowing: هذا POC يؤدي تجويف الأشباح.

  • MISC: هذا الدليل مخصص لأدوات المساعد لتطوير POCs في هذا المستودع.

  • PhantomDllHollower: هذا POC يؤدي phantom dll hollowing. انظر readme.md.

  • ppidspoofing: هذا POC ينفذ ppid spoofing.

  • ProcessDopPelgaenging: هذا POC يؤدي عملية doppelgänging. نظرًا لتحسين حماية Kernel لـ Microsoft Defender ، لا تعمل هذه التقنية لنظام التشغيل Windows الأخير (منذ حوالي عام 2021 ، ربما). لذلك إذا كنت ترغب في اختبار هذه التقنية في البيئة الأحدث ، فيجب إيقاف Microsoft/Windows Defender Antivirus Service . انظر قضية مستودع Herherezade.

  • ProcessGhosting: هذا POC يؤدي عملية الظلال. بسبب حماية النواة ، لا تعمل هذه التقنية مع النوافذ الأحدث من 22H2.

  • ProcessHerPaderping: هذا POC يؤدي عملية الهرب. بسبب مشكلة قفل الملف ، إذا اخترت ملف صورة مزيف أصغر مما تريد تنفيذه ، فسيتم تقليص حجم الملف وسيتم توقيع الملف التالف لعملية Herpaderping. للاستفادة الكاملة من هذه التقنية ، يجب أن يكون حجم ملف الصورة المزيف أكبر مما تريد تنفيذه. بسبب حماية النواة ، لا تعمل هذه التقنية مع النوافذ الأحدث من 22H2.

  • ProcessHollowing: هذا POC يؤدي عملية تجويف العملية. على عكس الأصل ، يتم تحليل صورة PE في منطقة ذاكرة جديدة بدلاً من استخدام ZwUnmapViewOfSection / NtUnmapViewOfSection .

  • Procmemscan: هذه أداة تشخيصية للتحقيق في العملية عن بُعد. انظر readme.md.

  • المعالجة المحمية: مجموعة الأدوات هذه لاختبار العملية المحمية. انظر readme.md.

  • تعكس LespervivedLlinjection: هذه الأدوات هي اختبار حقن DLL العاكس. انظر readme.md.

  • SRDI: هذا الدليل مخصص للأداة لـ SRDI (حقن DLL العاكس). انظر readme.md.

  • TransactedHollowing: هذا POC يؤدي تجويف المعالجة.

  • WMISPAWN: يحاول هذا POC عملية تفرخ مع WMI. سيتم تولد العمليات كعمليات للأطفال في WmiPrvSE.exe . يدعم تنفيذ عملية الماكينة المحلية وتنفيذ عملية الجهاز عن بُعد. يمكن للاستخدام رؤية readme.md.

ملاحظة: لا يعمل رمز ProcessHollowing حاليًا لإنشاء التصحيح. لاختبار ذلك ، استخدم بناء الإصدار. انظر هذه القضية.

مرجع

حظر DLL

  • منع DLLs الطرف الثالث من الحقن في البرامج الضارة الخاصة بك

  • البقاء تحت الرادار - الجزء 1 - خداع PPID وحظر DLLS

  • PPID SPOOFING & bLOCKDLLS مع ntcreatuserProcess

سطر الأوامر خداع

  • إخفاء القطع الأثرية: حجة العملية خداع

  • عودة الجزء 2: سطر الأوامر خداع

مكتبة التحميل المظلم

  • Github - Bats3c/DarkloadLibrary

  • تجاوز عمليات عمليات الاسترداد النواة تحميل الصورة

Phantom DLL Hollowing

  • القطع الأثرية للذاكرة الخبيثة - الجزء الأول: فانتوم DLL Hollowing

  • GitHub-Forrest-Orr/Phantom-dll-Hollower-Poc

PPID خداع

  • معالجة الرمز المميز للوصول: PID PID خداع

  • PID PID SPOOFING (ميتري: T1134)

  • كيفية اكتشاف هجمات PID (PPID)

  • معرف العملية الوالدين (PPID) خداع

  • عودة الجزء المحاكاة الساخرة الجزء 1: معرف عملية الوالدين خداع

معالجة doppelgänging

  • فقدت في المعاملة: معالجة doppelgänging

  • حقن العملية: عملية doppelgänging

  • عملية doppelgänging - طريقة جديدة لانتحال شخصية ما

عملية الظلال

  • ما تحتاج إلى معرفته حول عملية تثبيط العملية ، هجوم جديد قابل للتنفيذ

  • معالجة هجوم الظلال

عملية الهرب

  • Github - Jxy -S/Herpaderping

  • عملية الهرب

  • عملية Herpaderping (ميتري: T1055)

عملية تجويف

  • حقن العملية: عملية تجويف

  • عملية تجويف وترحلات قابلة للتنفيذ

تجويف الشبح والتعامل مع الجوفاء

  • GitHub - Heherezade/Transacted_hollowing

العملية المحمية

  • غير معروفة معروفة DLLs

  • وضع غير واقعي: كسر العمليات المحمية

  • تطور العمليات المحمية-الجزء 1: تمريرات التثبيت في Windows 8.1

  • تطور العمليات المحمية الجزء 2: تخفيفات الاستغلال/كسر السجن ، والعمليات غير القابلة للاستيعاب والخدمات المحمية

  • العمليات المحمية الجزء 3: Windows PKI Internals (مستويات التوقيع ، السيناريوهات ، مفاتيح الجذر ، ekus & Runtime Signers)

  • حيل استغلال Windows: استغلال إنشاء دليل الكائن التعسفي للارتفاع المحلي للامتياز

  • حقن الكود في عمليات محمية Windows باستخدام COM - الجزء 1

  • حقن الكود في عمليات محمية Windows باستخدام COM - الجزء 2

  • هل تعرف حقًا عن حماية LSA (RunAsppl)؟

  • تجاوز حماية LSA في Userland

  • تصحيح العمليات المحمية

  • نهاية ppldump

  • حماية عمليات محمية Windows

  • أهمية ميزات الأمان التي تم تقديمها في نظام التشغيل Windows الحديث

  • تجاوز حماية LSA (ويعرف أيضًا باسم ضوء العملية المحمية) بدون mimikatz على Windows 10

  • تصحيح الأخطاء غير القابلة للضرب وإيجاد CVE في Microsoft Defender لنقطة النهاية

  • منتجات antimalware sandboxing من أجل المتعة والربح

  • جيثب - مرن/pplguard

  • Github - Gabriellandau/Pplfault

  • ppldump ميت. Live Ppldump (فيديو)

  • ppldump ميت. Live Ppldump (شريحة)

حقن DLL العاكس

  • GitHub - Stephenfewer/Reflevivedllinjection

Srdi

  • SRDI - حقن DLL عاكس الرمز

  • Github - Monoxgas/SRDI

  • تقنية حقن DLL عاكسة محسنة

شكر وتقدير

شكرا لبحثك:

  • تال ليبرمان (tal_liberman)

  • يوجين كوجان (eukogan)

  • Heherezade (@hasherezade)

  • غابرييل لانداو (gabriellandau)

  • فورست أور (_forrestorr)

  • ستيفن أقل (@stephenfewer)

  • BATSEC (_batsec_)

  • نيك لاندرز (monoxgas)

يوسع
معلومات إضافية
تطبيقات ذات صلة
نوصي لك
أخبار ذات صلة الكل