Inicio>Relacionado con la programación>Otro código fuente
Descargar

Winexec enredado

Este repositorio es para la investigación de las técnicas de ejecución de procesos de Windows. La mayoría de los POC tienen un nombre correspondiente a la técnica.

Proyectos

  • BLOCKINGDLL: Este conjunto de herramientas es para probar el proceso DLL de bloqueo. Ver ReadMe.md.

  • CloneProcess: este directorio es para bifurcación y reflexión de procesos. Ver ReadMe.md.

  • CommandLinesPoofing: este POC realiza la falsificación de la línea de comandos. Esta técnica puede no funcionar para Windows 11.

  • DarkloadLibrary: los POC en este directorio son para probar la biblioteca de carga oscura que es lanzada por @_batsec_. Ver ReadMe.md

  • Ghostlyhollowing: este POC realiza huecos fantasmales.

  • MISC: Este directorio es para Helper Tools to Development POCS en este repositorio.

  • Phantomdllhollower: este POC realiza el hueco Phantom Dll. Ver ReadMe.md.

  • PPIDSpoofing: este POC realiza la suplantación de PPID.

  • ProcessDoppelgaenging: este POC realiza el doppelgänging de procesos. Debido a la mejora de la protección del núcleo para el defensor de Microsoft, esta técnica no funciona para el sistema operativo Windows reciente (tal vez alrededor de 2021, tal vez). Entonces, si desea probar esta técnica en un entorno más nuevo, debe ser Microsoft/Windows Defender Antivirus Service . Vea el problema para el repositorio de Hasherezade.

  • ProcessGhosting: este POC realiza el fantasma de procesos. Debido a la protección del núcleo, esta técnica no funciona para ventanas más nuevas de 22H2.

  • ProcessHerPaderping: este POC realiza el herpader de procesos. Debido al problema de bloqueo de archivos, si elige un archivo de imagen falso más pequeño de lo que desea ejecutar, se fallará el tamaño del tamaño del archivo y corrupta la firma de archivos para el proceso de herpader. Para aprovechar al máximo esta técnica, el tamaño del archivo de imagen falso debe ser más grande de lo que desea ejecutar. Debido a la protección del núcleo, esta técnica no funciona para ventanas más nuevas de 22H2.

  • ProcessHollowing: este POC realiza el hueco del proceso. A diferencia del original, la imagen PE se analiza en un nuevo área de memoria en lugar de usar ZwUnmapViewOfSection / NtUnmapViewOfSection .

  • ProcmemScan: esta es una herramienta de diagnóstico para investigar el proceso remoto. Ver ReadMe.md.

  • Procesos protegidos: este conjunto de herramientas es para probar el proceso protegido. Ver ReadMe.md.

  • ReflectiveLlinyección: este conjunto de herramientas es para probar la inyección de DLL reflectante. Ver ReadMe.md.

  • SRDI: Este directorio es para la herramienta a SRDI (inyección de DLL reflectante del código de carcasa). Ver ReadMe.md.

  • TransactedHollowing: este POC realiza huecos transactos.

  • Wmispawn: Este POC intenta generar el proceso con WMI. Los procesos se generarán como procesos infantiles de WmiPrvSE.exe . Admite la ejecución del proceso de la máquina local y la ejecución de procesos de máquina remota. El uso puede ver ReadMe.md.

Nota: Actualmente, el código de flujo de procesos no funciona para la construcción de depuración. Para probarlo, use la compilación de lanzamiento. Ver este problema.

Referencia

Bloqueo de DLL

  • Evitar que las DLL de terceros inyecten en su malware

  • Permanecer debajo del radar - Parte 1 - Dlls de falsificación y bloqueo de PPID

  • Spoofing y bloques de PPID con NTCreateUserProcess

Supulación de la línea de comandos

  • Ocultar artefactos: argumento de proceso falsificación

  • El retorno de la parodia Parte 2: suplantación de la línea de comandos

Biblioteca de carga oscura

  • GitHub - BATS3C/DarkloadLibrary

  • Omitiendo devoluciones de llamada de la carga de imagen del núcleo

Phantom dll hueco

  • Enmascarar artefactos de memoria maliciosa - Parte I: Phantom Dll Hollowing

  • GitHub-Forrest-Oorr/Phantom-Dll-Hollower-Poc

PSOGING PPID

  • Manipulación del token de acceso: falsificación de PID de los padres

  • Spoofing PID de los padres (Mitre: T1134)

  • Cómo detectar ataques de falsificación PID (PPID) de los padres

  • Identificación del proceso principal (PPID) suplantación

  • El retorno de la parodia Parte 1: Spoofing de ID del proceso de los padres

Procesar doppelgänging

  • Perdido en la transacción: Process Doppelgänging

  • Inyección de proceso: Doppelgänging de procesos

  • Proceso Doppelgänging: una nueva forma de hacerse pasar por un proceso

Procesar fantasma

  • Lo que necesita saber sobre el fantasma de procesos, un nuevo ataque de manipulación de imágenes ejecutables

  • Proceso de ataque fantasma

Proceso Hirpaderping

  • Github - Jxy -S/Herpaderping

  • Proceso Hirpaderping

  • Process Herpaderping (Mitre: T1055)

Proceso de hueco

  • Inyección de proceso: hueco del proceso

  • Proceso de hueco y reubicaciones ejecutables portátiles

Hueco fantasmal y hueco de transactivos

  • GitHub - Hasherezade/Transacted_hollowing

Proceso protegido

  • Dlls conocidos desconocidos

  • Modo irreal: rompiendo procesos protegidos

  • La evolución de los procesos protegidos-Parte 1: mitigaciones de pasas en Windows 8.1

  • La evolución de los procesos protegidos Parte 2: mitigaciones de exploit/jailbreak, procesos inquietables y servicios protegidos

  • Procesos protegidos PARTE 3: Windows PKI -THERAL (niveles de firma, escenarios, claves raíz, firmantes de EKUS y tiempo de ejecución)

  • Trucos de explotación de Windows: Explotación de la creación de directorio de objetos arbitrarios para la elevación local del privilegio

  • Inyectar código en procesos protegidos de Windows utilizando la parte 1

  • Inyectar código en procesos protegidos de Windows utilizando COM - Parte 2

  • ¿Realmente sabes sobre LSA Protection (RunAsppl)?

  • Evitar la protección de LSA en Userland

  • Depuración de procesos protegidos

  • El final de ppldump

  • Protección de procesos protegidos de Windows

  • Relevancia de las características de seguridad introducidas en el sistema operativo Windows moderno

  • Omitiendo la protección de LSA (también conocido como luz de proceso protegida) sin Mimikatz en Windows 10

  • Depuración de los desbogados y encontrar una CVE en Microsoft Defender para Endpoint

  • Productos de antimalware de sandboxing para diversión y ganancias

  • Github - elástico/pplguard

  • Github - Gabriellandau/Pplfault

  • PPLDump está muerto. Long Live PPldump (Video)

  • PPLDump está muerto. Long Live Ppldump (diapositiva)

Inyección de DLL reflectante

  • GitHub - Stephenfewer/Reflectivedllinyección

srdi

  • srdi - inyección de dll reflectante de cáscara

  • Github - Monoxgas/Srdi

  • Una técnica de inyección de DLL reflectante mejorada

Expresiones de gratitud

Gracias por tu investigación:

  • Tal Liberman (@tal_liberman)

  • Eugene Kogan (@eukogan)

  • Hasherezade (@HasheRezade)

  • Gabriel Landau (@gabriellandau)

  • Forrest Orr (@_forrestorr)

  • Stephen menos (@stephenfewer)

  • Batsec (@_batsec_)

  • Nick Landers (@monoxgas)

Expandir
Información adicional
Aplicaciones relacionadas
Recomendado para ti
Información relacionada Todo