TangledWinExec
1.0.0
このリポジトリは、Windowsプロセス実行手法の調査用です。 POCのほとんどには、手法に対応する名前が付けられています。
blockingdll:このツールセットは、ブロックDLLプロセスをテストするためのものです。 readme.mdを参照してください。
CloneProcess:このディレクトリは、プロセスの分岐と反射向けです。 readme.mdを参照してください。
CommandLinesPoofing:このPOCはコマンドラインのスプーフィングを実行します。この手法は、Windows 11では機能しない場合があります。
DarkLoadLibrary:このディレクトリのPOCSは、@_batsec_によってリリースされるDark Loadライブラリをテストするためのものです。 readme.mdを参照してください
GhostlyHollowing:このPOCは幽霊のようなくぼみを実行します。
その他:このディレクトリは、このリポジトリのPOCを開発するためのヘルパーツール用です。
Phantomdllhollower:このPOCは、Phantom dll Holloingを実行します。 readme.mdを参照してください。
PPIDSPOOFING:このPOCはPPIDスプーフィングを実行します。
ProcessDoppelgaenging:このPOCはプロセスDoppelgängingを実行します。 Microsoft Defenderのカーネル保護の改善により、この手法は最近のWindows OSでは機能しません(2021年頃以降)。したがって、この技術を新しい環境でテストしたい場合は、 Microsoft/Windows Defender Antivirus Serviceを停止する必要があります。 Hasherezadeのリポジトリの問題を参照してください。
プロセスゴースト:このPOCはプロセスゴーストを実行します。カーネル保護により、この手法は22H2の新しいウィンドウでは機能しません。
ProcessherPaderping:このPOCはプロセスヘルパーピジを実行します。ファイルロックの問題により、実行するよりも小さい偽の画像ファイルを選択した場合、ファイルサイズの縮小は失敗し、ヘルパーピングプロセスのファイル署名を破損します。この手法を最大限に活用するには、偽の画像ファイルサイズが実行するよりも大きくする必要があります。カーネル保護により、この手法は22H2の新しいウィンドウでは機能しません。
ProcessHollowing:このPOCはプロセスホローを実行します。オリジナルとは異なり、PE画像はZwUnmapViewOfSection / NtUnmapViewOfSectionを使用する代わりに、新しいメモリ領域に解析されます。
Procmemscan:これは、リモートプロセスを調査するための診断ツールです。 readme.mdを参照してください。
ProtectedProcess:このツールセットは、保護プロセスをテストするためのものです。 readme.mdを参照してください。
ReflectiveDllinjection:このツールセットは、反射DLL注入をテストするためのものです。 readme.mdを参照してください。
SRDI:このディレクトリは、SRDI(シェルコード反射DLLインジェクション)のツール用です。 readme.mdを参照してください。
TransacteDhollowing:このPOCは、トランザクションの空洞を実行します。
WMISPAWN:このPOCは、WMIでプロセスを生み出そうとします。プロセスは、 WmiPrvSE.exeの子プロセスとして生成されます。ローカルマシンプロセスの実行とリモートマシンプロセスの実行をサポートします。使用はreadme.mdを見ることができます。
注:現在、ProcessHollowingコードはデバッグビルドでは機能しません。それをテストするには、リリースビルドを使用します。この問題を参照してください。
サードパーティのDLLがマルウェアに注入するのを防ぎます
レーダーの下にとどまる - パート1 -PPIDスプーフィングとブロックDLL
ntcreateuserprocessを使用したppidスプーフィングおよびblockdlls
アーティファクトを非表示:引数のスプーフィングをプロセスします
スプーフィングパート2の戻り:コマンドラインスプーフィング
github -bats3c/darkloadlibrary
画像ロードカーネルコールバックのバイパス
マスキング悪意のあるメモリアーティファクト - パートI:ファントムDLLホーイング
Github-Forrest-Orr/Phantom-Dll-Hollower-Poc
アクセストークン操作:親pidスプーフィング
親pidスプーフィング(miter:t1134)
親PID(PPID)スプーフィング攻撃を検出する方法
親プロセスID(PPID)スプーフィング
スプーフィングパート1:親プロセスIDのスプーフィングの復帰
トランザクションで紛失:プロセスドッペルゲンギン
プロセスインジェクション:プロセスドッペルゲンギン
プロセスDoppelgänging - プロセスになりすます新しい方法
プロセスゴースト、新しい実行可能イメージの改ざん攻撃について知っておくべきこと
ゴースト攻撃を処理します
Github -Jxy -s/herpaderping
ハーパーピングを処理します
プロセスヘルパーピューング(MITRE:T1055)
プロセスインジェクション:プロセスホーリング
プロセスホローとポータブル実行可能な移転
不明な既知のdll
非現実的なモード:保護されたプロセスを破る
保護されたプロセスの進化 - パート1:Windows8.1のパスハッシュ緩和
保護されたプロセスの進化パート2:エクスプロイト/ジェイルブレイクの緩和、能力のないプロセス、保護されたサービス
保護されたプロセスパート3:Windows PKI内部(署名レベル、シナリオ、ルートキー、Ekus&Runtime Signers)
Windows Exploitationトリック:特権のローカル標高のための任意のオブジェクトディレクトリの作成を利用する
com -part 1を使用して、コードをWindows保護プロセスに注入する
com -part 2を使用して、コードをWindows保護プロセスに注入する
LSA Protection(runasppl)について本当に知っていますか?
ユーザーランドでのLSA保護をバイパスします
保護されたプロセスのデバッグ
ppldumpの終わり
Windows保護プロセスの保護
Modern Windows OSで導入されたセキュリティ機能の関連性
Windows10にMimikatzなしでLSA保護(別名保護プロセスライト)をバイパスする
エンドポイントのMicrosoft DefenderでDebuggableをデバッグし、CVEを見つける
楽しみと利益のためのサンドボックスアンチマルウェア製品
github-弾性/pplguard
Github -gabriellandau/pplfault
ppldumpは死んでいます。ロングライブppldump(ビデオ)
ppldumpは死んでいます。ロングライブppldump(スライド)
SRDI - シェルコード反射DLLインジェクション
Github -Monoxgas/srdi
改善された反射DLL注入技術
あなたの調査をありがとう:
タルリベルマン(@tal_liberman)
ユージン・コガン(@eukogan)
Hasherezade(@hasherezade)
ガブリエルランダウ(@gabriellandau)
Forrest Orr(@_forrestorr)
スティーブン少ない(@stephenfewer)
batsec(@_batsec_)
ニックランダーズ(@monoxgas)
