TangledWinExec

Repositori ini untuk penyelidikan teknik eksekusi proses Windows. Sebagian besar POC diberi nama yang sesuai dengan teknik ini.

• Blockingdll: Toolset ini untuk pengujian memblokir proses DLL. Lihat README.MD.

• Cloneprocess: Direktori ini adalah untuk forking dan refleksi proses. Lihat README.MD.

• CommandSlinespoofing: POC ini melakukan spoofing baris perintah. Teknik ini mungkin tidak berfungsi untuk Windows 11.

• DarkLoadLibrary: POCS di direktori ini adalah untuk menguji perpustakaan beban gelap yang dirilis oleh @_batsec_. Lihat README.MD

• Ghostlyhollowing: POC ini melakukan hantu yang berlubang.

• MISC: Direktori ini adalah untuk alat penolong untuk pengembangan POC di repositori ini.

• Phantomdllhollower: POC ini melakukan hampa hantu hantu. Lihat README.MD.

• PPIDSPOOFING: POC ini melakukan spoofing PPID.

• ProcessDopPelgaEnging: POC ini melakukan proses doppelgänging. Karena peningkatan perlindungan kernel untuk Microsoft Defender, teknik ini tidak berfungsi untuk OS Windows baru -baru ini (sejak sekitar 2021, mungkin). Jadi, jika Anda ingin menguji teknik ini di lingkungan yang lebih baru, harus berhenti Microsoft/Windows Defender Antivirus Service . Lihat masalah untuk Repositori Hasherezade.

• ProcessGhosting: POC ini melakukan proses ghosting. Karena perlindungan kernel, teknik ini tidak berfungsi untuk jendela yang lebih baru dari 22h2.

• ProcessHerpaderping: POC ini melakukan proses herpaderping. Karena masalah kunci file, jika Anda memilih file gambar palsu yang lebih kecil dari yang ingin Anda jalankan, menyusut ukuran file akan gagal dan tanda tangan file yang rusak untuk proses herpaderping. Untuk mengambil keuntungan penuh dari teknik ini, ukuran file gambar palsu harus lebih besar dari yang ingin Anda jalankan. Karena perlindungan kernel, teknik ini tidak berfungsi untuk jendela yang lebih baru dari 22h2.

• Processhollowing: POC ini melakukan proses pembindung. Berbeda dengan aslinya, gambar PE diuraikan ke area memori baru alih -alih menggunakan ZwUnmapViewOfSection / NtUnmapViewOfSection .

• ProcMemscan: Ini adalah alat diagnostik untuk menyelidiki proses jarak jauh. Lihat README.MD.

• ProtectedProcess: Toolset ini adalah untuk menguji proses yang dilindungi. Lihat README.MD.

• ReflectiveDllInjection: Toolset ini adalah untuk menguji injeksi DLL reflektif. Lihat README.MD.

• SRDI: Direktori ini adalah untuk alat untuk SRDI (injeksi DLL reflektif shellcode). Lihat README.MD.

• Transactedhollowing: POC ini melakukan hollowing yang ditransaksikan.

• WMISPAWN: POC ini mencoba menelurkan proses dengan WMI. Prosesnya akan diteluskan sebagai proses anak dari WmiPrvSE.exe . Mendukung eksekusi proses mesin lokal dan eksekusi proses mesin jarak jauh. Penggunaan dapat melihat readme.md.

CATATAN: Saat ini proses mengikuti kode tidak berfungsi untuk pembuatan debug. Untuk mengujinya, gunakan Build Release. Lihat masalah ini.

• Mencegah DLL pihak ke -3 menyuntikkan ke dalam malware Anda

• Tetap di bawah radar - Bagian 1 - PPID Spoofing dan Blocking DLLS

• PPID Spoofing & Blockdlls dengan NTCreateUserProcess

• Sembunyikan Artefak: Proses Argumen Spoofing

• Pengembalian Spoof Bagian 2: Command Line Spoofing

• GitHub - Bats3c/Darkloadlibrary

• Melewati callback load call callbacks

• Masking artefak memori jahat - Bagian I: Phantom Dll Hollowing

• GitHub-Forrest-Orr/Phantom-Dll-Hollower-Poc

• Manipulasi Token Akses: Spoofing PID Induk

• Spoofing PID induk (MITER: T1134)

• Cara mendeteksi serangan spoofing PID (PPID)

• ID Proses Induk (PPID) Spoofing

• Pengembalian Spoof Bagian 1: Proses Induk ID Spoofing

• Hilang dalam transaksi: proses doppelgänging

• Injeksi proses: proses doppelgänging

• Proses Doppelgänging - Cara baru untuk menyamar sebagai proses

• Apa yang Perlu Anda Ketahui Tentang Proses Ghosting, serangan perusakan gambar baru yang dapat dieksekusi

• Memproses serangan ghosting

• GitHub - JXY -S/Herpaderping

• Memproses herpaderping

• Proses Herpaderping (MITER: T1055)

• Injeksi Proses: Proses Hollowing

• Proses relokasi pelindung dan portabel yang dapat dieksekusi

• GitHub - Hasherezade/Transacted_hollowing

• DLL yang tidak diketahui

• Mode Unreal: Proses yang dilindungi melanggar

• Evolusi Proses yang Dilindungi-Bagian 1: Mitigasi Pass-the-Hash di Windows 8.1

• Evolusi Proses yang Dilindungi Bagian 2: Mitigasi Eksploitasi/Jailbreak, Proses yang Tidak Dapat Dibutuhkan dan Layanan Dilindungi

• Proses yang Dilindungi Bagian 3: Internal Windows PKI (level penandatanganan, skenario, kunci root, penandatangan Ekus & Runtime)

• Trik Eksploitasi Windows: Mengeksploitasi Pembuatan Direktori Objek yang Secara Lokal untuk Ketinggian Hak istimewa lokal

• Menyuntikkan kode ke dalam proses yang dilindungi windows menggunakan com - bagian 1

• Menyuntikkan kode ke dalam proses yang dilindungi windows menggunakan com - bagian 2

• Apakah Anda benar -benar tahu tentang perlindungan LSA (runasppl)?

• Melewati perlindungan LSA di Userland

• Debugging Proses Lindung

• Akhir ppldump

• Melindungi proses yang dilindungi jendela

• Relevansi fitur keamanan yang diperkenalkan di OS Windows modern

• Melewati perlindungan LSA (alias lampu proses yang dilindungi) tanpa mimikatz di windows 10

• Men -debug yang tidak bisa diabaikan dan menemukan CVE di Microsoft Defender untuk titik akhir

• Produk Antimalware Sandboxing untuk bersenang -senang dan untung

• GitHub - elastis/pplguard

• GitHub - Gabriellandau/pplfault

• Ppldump sudah mati. Long Live Ppldump (Video)

• Ppldump sudah mati. Long Live Ppldump (Slide)

• GitHub - Stephenfewer/ReflectiveDlllInjection

• SRDI - Injeksi DLL Reflektif Shellcode

• GitHub - Monoxgas/Srdi

• Teknik injeksi DLL reflektif yang lebih baik

Terima kasih atas penelitian Anda:

• Tal Liberman (@tal_liberman)

• Eugene Kogan (@eukogan)

• HashereZade (@Hasherezade)

• Gabriel Landau (@gabriellandau)

• Forrest Orr (@_forrestorr)

• Stephen lebih sedikit (@stephenfewer)

• Batsec (@_batsec_)

• Nick Landers (@monoxgas)