Page d'accueil>Lié à la programmation>Autre code source
Télécharger

Winexec enchevêtré

Ce référentiel est pour enquêter sur les techniques d'exécution des processus Windows. La plupart des POC reçoivent un nom correspondant à la technique.

Projets

  • BlockingDLL: Cet outil est destiné à tester le processus de bloc de blocage. Voir Readme.md.

  • CLONEPROCESS: Ce répertoire est destiné à la fourniture et à la réflexion des processus. Voir Readme.md.

  • CommandlinesPoofing: ce POC effectue l'usurpation de la ligne de commande. Cette technique peut ne pas fonctionner pour Windows 11.

  • DarkloadLibrary: les POC dans ce répertoire sont destinés à tester la bibliothèque Dark Load qui est publiée par @_batsec_. Voir Readme.md

  • GhostlyHollowing: Ce POC exécute des creux fantomatiques.

  • MISC: Ce répertoire est destiné aux outils d'assistance pour développer les POC dans ce référentiel.

  • Phantomdllhollower: Ce POC effectue des creux de DLL Phantom. Voir Readme.md.

  • PPIDSPOOFING: Ce POC effectue une usurpation PPID.

  • ProcessDoppelgaenging: ce POC effectue un doppelgänge de processus. En raison de l'amélioration de la protection du noyau pour Microsoft Defender, cette technique ne fonctionne pas pour le système d'exploitation récent Windows (depuis environ 2021, peut-être). Donc, si vous souhaitez tester cette technique dans un environnement plus récent, vous devez arrêter Microsoft/Windows Defender Antivirus Service . Voir le problème du référentiel de Hasherezade.

  • ProcessGhosting: ce POC effectue des fantômes de processus. En raison de la protection du noyau, cette technique ne fonctionne pas pour les fenêtres plus récentes de 22h2.

  • ProcessHerpaderping: ce POC effectue un processus Herpaderping. En raison du problème de verrouillage des fichiers, si vous choisissez un faux fichier image plus petit que vous souhaitez exécuter, la taille de la taille du fichier est échoué et une signature de fichier corrompue pour le processus Herpaderping. Pour profiter pleinement de cette technique, la fausse taille du fichier image doit être plus grande que vous souhaitez exécuter. En raison de la protection du noyau, cette technique ne fonctionne pas pour les fenêtres plus récentes de 22h2.

  • ProcessHollowing: ce POC effectue des creux de processus. Contrairement à l'original, l'image PE est analysée dans une nouvelle zone de mémoire au lieu d'utiliser ZwUnmapViewOfSection / NtUnmapViewOfSection .

  • ProcMemScan: Il s'agit d'un outil de diagnostic pour étudier le processus distant. Voir Readme.md.

  • Protected Process: Cet outil est pour tester le processus protégé. Voir Readme.md.

  • ReflevvevevedLinjection: Cet outil est pour tester l'injection de DLL réfléchissante. Voir Readme.md.

  • SRDI: Ce répertoire est destiné à l'outil à SRDI (Shellcode Reflective DLL Injection). Voir Readme.md.

  • TRANSFACEDHOWING: Ce POC effectue des creux transactés.

  • WMISPAWN: Ce POC essaie de procéder au processus avec WMI. Les processus seront appariés en tant que processus enfants de WmiPrvSE.exe . Prend en charge l'exécution de processus de machine locale et l'exécution de processus de la machine distante. L'utilisation peut voir Readme.md.

Remarque: Le code de suivi du processus ne fonctionne pas pour la construction de débogage. Pour le tester, utilisez la construction de libération. Voir ce problème.

Référence

Bloquer la DLL

  • Empêcher les DLL tiers de l'injection dans votre malware

  • Rester sous le radar - Partie 1 - Espufilage PPID et Blocage DLL

  • PPID Spoofing & Blockdlls avec NTCreateUserProcess

Espolence de ligne de commande

  • Masquer les artefacts: l'usurpation de l'argument de processus

  • Le retour de la parodie de la partie 2: l'usurpation de la ligne de commande

Bibliothèque de charges sombres

  • Github - bats3c / darkloadLibrary

  • Contourner l'image de chargement des rappels du noyau

DLL Phantom Hollowing

  • Masquage des artefacts de mémoire malveillante - Partie I: DLL Phantom Hollowing

  • GitHub - Forrest-ORR / Phantom-Dll-Hollower-POC

Usurpation PPID

  • Manipulation du jeton d'accès: usurpation des parents PID

  • Tusonnade PID Parent (mitre: T1134)

  • Comment détecter les attaques d'usurpation des parents PID (PPID)

  • ID de processus parent (PPID)

  • Le retour de la parodie partie 1: l'usurpation d'identification du processus parent

Procéder à un doppelgängging

  • Perdu dans la transaction: Doppelgänging de processus

  • Injection de processus: Doppelgänging de processus

  • Doppelgänging de processus - une nouvelle façon d'identiter un processus

Processus fantôme

  • Ce que vous devez savoir sur les fantômes de processus, une nouvelle attaque de falsification d'image exécutable

  • Traiter l'attaque fantôme

Traiter Herpaderping

  • Github - Jxy-s / Herpaderping

  • Traiter Herpaderping

  • Processus Herpaderping (mitre: T1055)

Processus creux

  • Injection de processus: creux de processus

  • Procédé à la creux et des délocalisations exécutables portables

Creux fantomatique et creux

  • GitHub - HashaRezade / TransactEd_Hollowing

Processus protégé

  • DLLS connus inconnus

  • Mode irréel: rompre les processus protégés

  • L'évolution des processus protégés - Partie 1: Pass-the-Hash dans Windows 8.1

  • L'évolution des processus protégés Partie 2: Exploits / atténuations de jailbreak, processus unilable et services protégés

  • Processus protégés PARTIE 3: Windows PKI internes (niveaux de signature, scénarios, clés racine, signataires Ekus et d'exécution)

  • Astuces d'exploitation de Windows: exploiter la création de répertoire d'objets arbitraires pour l'élévation locale du privilège

  • Injection de code dans les processus protégés Windows à l'aide de la partie 1

  • Injection de code dans les processus protégés Windows à l'aide de la partie 2

  • Connaissez-vous vraiment la protection LSA (RunaSppl)?

  • Contourner la protection LSA dans l'utilisateur

  • Débogage des processus protégés

  • La fin de ppldump

  • Protection des processus protégés Windows

  • Pertinence des fonctionnalités de sécurité introduites dans le système d'exploitation Windows moderne

  • Contourner la protection LSA (aka protégée de lumière protégée) sans Mimikatz sur Windows 10

  • Débogage de l'infondé et trouvant un CVE dans Microsoft Defender pour le point final

  • Sandboxing Produits anti-logiciels pour le plaisir et le profit

  • Github - élastique / pplguard

  • Github - Gabriellandau / Pplfault

  • PPLDump est mort. Long Live Ppldump (vidéo)

  • PPLDump est mort. Vive ppldump (diapositive)

Injection de DLL réfléchie

  • Github - Stephenfewer / ReflevevevevevedLlinjection

srdi

  • SRDI - Injection de DLL réfléchissante Shellcode

  • Github - monoxgas / srdi

  • Une technique d'injection de DLL réfléchie améliorée

Remerciements

Merci pour vos recherches:

  • Tal Liberman (@Tal_Liberman)

  • Eugene Kogan (@eukogan)

  • Hasharezade (@hasherezade)

  • Gabriel Landau (@gabriellandau)

  • Forrest Orr (@_forrestorr)

  • Stephen moins (@stephenfewer)

  • BATSEC (@_batsec_)

  • Nick Landers (@monoxgas)

Développer
Informations supplémentaires
Applications connexes
Recommandé pour vous
Actualités connexes Tout