TangledWinExec
1.0.0
Este repositório é para investigação das técnicas de execução do processo do Windows. A maioria dos POCs recebe um nome correspondente à técnica.
BlockingDll: Este conjunto de ferramentas é para testar o processo de DLL de bloqueio. Consulte Readme.md.
CLONEPROCESS: Este diretório é para forking e reflexão de processo. Consulte Readme.md.
CommandLinesPoofing: Este POC executa a falsificação da linha de comando. Essa técnica pode não funcionar para o Windows 11.
DarkLoadLibrary: POCs neste diretório são para testar a biblioteca de carga escura, que é lançada por @_batsec_. Consulte Readme.md
Ghostlyholding: Este POC realiza um desempenho fantasmagórico.
Misc: Este diretório é para ferramentas ajudantes para o desenvolvimento de POCs neste repositório.
Phantomdlllhollower: Este POC executa DLL Phantom Dll. Consulte Readme.md.
PPIDSPOOFing: Este POC executa a falsificação do PPID.
ProcessDOPPELGEENGING: Este POC executa doppelgänging de processo. Devido à melhoria da proteção do kernel para o Microsoft Defender, essa técnica não funciona para o sistema operacional recente do Windows (desde 2021, talvez). Portanto, se você deseja testar essa técnica em ambiente mais recente, deve ser interrompido Microsoft/Windows Defender Antivirus Service . Veja a questão do repositório da Hasherezade.
ProcessGhosting: Este POC executa fantasmas de processo. Devido à proteção do kernel, essa técnica não funciona para janelas mais recentes a partir de 22h2.
ProcessHerpaderping: este POC executa o Herpaderping de processo. Devido ao problema de bloqueio do arquivo, se você escolher um arquivo de imagem falso menor do que deseja executar, o tamanho do tamanho do arquivo será falhado e a assinatura do arquivo corrupta para o processo de herpaderping. Para aproveitar ao máximo essa técnica, o tamanho do arquivo de imagem falso deve ser maior do que você deseja executar. Devido à proteção do kernel, essa técnica não funciona para janelas mais recentes a partir de 22h2.
PROCESSO ANTERIOR: Este POC executa o processo de processo. Ao contrário do original, a imagem PE é analisada em uma nova área de memória em vez de usar ZwUnmapViewOfSection / NtUnmapViewOfSection .
PROCMEMScan: Esta é uma ferramenta de diagnóstico para investigar o processo remoto. Consulte Readme.md.
ProtectedProcess: este conjunto de ferramentas é para testar o processo protegido. Consulte Readme.md.
RefletividaLinjeção: esse conjunto de ferramentas é para testar a injeção de DLL reflexiva. Consulte Readme.md.
SRDI: Este diretório é para ferramenta para SRDI (Injeção de DLL refletora de código de shell). Consulte Readme.md.
Seguro transaciado: Este POC executa o escavamento transalizado.
WMISPAWN: Este POC tenta gerar processo com WMI. Os processos serão gerados como processos infantis do WmiPrvSE.exe . Suporta a execução do processo de máquina local e a execução do processo de máquina remota. O uso pode ver readme.md.
NOTA: Atualmente, o Código do Process Hollowing não funciona para a construção de depuração. Para testá -lo, use a construção de liberação. Veja esta questão.
Impedindo que as DLLs de terceiros injetem em seu malware
Ficar sob o radar - Parte 1 - DLLs de falsificação e bloqueio de PPID
Spoofing e blockdlls do PPID com ntcreateUserprocess
Ocultar artefatos: processo de processo de processo
O retorno da paródia Parte 2: Spoofing da linha de comando
Github - Bats3C/DarkLoadLibrary
Ignorando os retornos de chamada do kernel de carga de carga
Mascarando artefatos de memória maliciosa - Parte I: DLL Phantom Holling
Github-Forrest-Orr/Phantom-Dll-Hollower-Poc
Manipulação de token de acesso: falsificação de PID dos pais
Foliação do PID dos pais (Mitre: T1134)
Como detectar ataques de falsificação de PID (PPID)
Spoofing de ID do processo pai (PPID)
O retorno da paródia Parte 1: Spoofing de ID do processo pai
Perdido na transação: processo doppelgänging
Injeção de processo: processo doppelgänging
Processar doppelgänging - uma nova maneira de se passar por um processo
O que você precisa saber sobre o fantasma do processo, um novo ataque de adulteração de imagem executável
Processar ataque fantasma
Github - JXY -S/Herpaderping
Processar herpaderping
Processar Herpaderping (Mitre: T1055)
Injeção de processo: Processo oca
Processar realocações oco e executáveis portáteis
DLLs conhecidos desconhecidos
Modo irreal: quebrando processos protegidos
A evolução dos processos protegidos-Parte 1: Mitigações de passe-se-hash no Windows 8.1
A evolução dos processos protegidos Parte 2: Mitigações de Explorar/Jailbreak, processos inabaláveis e serviços protegidos
Processos Protegidos Parte 3: Windows PKI Internals (níveis de assinatura, cenários, chaves de raiz, EKUS e sinalizadores de tempo de execução)
Truques de exploração do Windows: Explorando a criação arbitrária do diretório de objetos para elevação local de privilégio
Injetando código em processos protegidos do Windows usando - Parte 1
Injetando código em processos protegidos do Windows usando - Parte 2
Você realmente sabe sobre a proteção da LSA (RUNASPPL)?
Ignorando a proteção de LSA em terras de usuário
Depuração de processos protegidos
O fim do ppldump
Protegendo processos protegidos pelo Windows
Relevância dos recursos de segurança introduzidos no sistema operacional moderno do Windows
Ignorando a proteção LSA (também conhecida como luz de processo protegida) sem Mimikatz no Windows 10
Debugando o indefinido e encontrando um CVE no Microsoft Defender para o terminal
Produtos antimalware de sandboxing para diversão e lucro
Github - elástico/pplguard
Github - Gabriellandau/Pplfault
Ppldump está morto. Viva ppldump (vídeo)
Ppldump está morto. Viva ppldump (slide)
SRDI - Injeção de DLL reflexiva de código de shell
Github - monoxgas/srdi
Uma técnica de injeção de DLL reflexiva aprimorada
Obrigado pela sua pesquisa:
Tal Liberman (@tal_liberman)
Eugene Kogan (@Eukogan)
Hasherezade (@Hasherezade)
Gabriel Landau (@Gabriellandau)
Forrest Orr (@_forestorr)
Stephen Menos (@stephenfewer)
Batsec (@_batsec_)
Nick Landers (@monoxgas)
