TangledWinExec

Этот репозиторий предназначен для исследования методов выполнения процесса Windows. Большинству POC получают имя, соответствующее технике.

• BlockingDll: этот набор инструментов предназначен для тестирования блокировки процесса DLL. Смотрите readme.md.

• CloneProcess: этот каталог предназначен для разбивания и размышлений процесса. Смотрите readme.md.

• CommandLinesPoofing: этот POC выполняет подделка командной строки. Эта техника может не работать для Windows 11.

• DarkLoadLibrary: POC в этом каталоге предназначены для тестирования библиотеки темной загрузки, которая выпускается @_batsec_. Смотрите readme.md

• GhostlyHollowing: этот POC выступает с призрачными пустыми.

• MISC: этот каталог предназначен для вспомогательных инструментов для разработки POC в этом репозитории.

• Phantomdllhollower: этот POC выполняет Phantom DLL Dlowing. Смотрите readme.md.

• PPIDPoofing: этот POC выполняет пародию на PPID.

• ProcessDoppelgaEnging: этот POC выполняет процесс Doppelgänging. Из -за улучшения защиты ядра для Microsoft Defender этот метод не работает для недавней ОС Windows (возможно, с 2021 года, возможно,). Поэтому, если вы хотите проверить эту технику в более новой среде, должна быть остановка Microsoft/Windows Defender Antivirus Service . Смотрите проблему для репозитория Hasherezade.

• ProcessGhosting: этот POC выполняет процесс призраков. Из -за защиты ядра эта техника не работает для новых окон с 22H2.

• Processherpaderping: этот POC выполняет процесс Herpaderping. В связи с проблемой блокировки файла, если вы выберете фальшивый файл изображения, меньший, чем вы хотите выполнить, сокращение размера файла не будет выполнено и повреждено подпись файла для процесса Herpadererp. Чтобы в полной мере воспользоваться этой техникой, размер файла фальшивого изображения должен быть больше, чем вы хотите выполнить. Из -за защиты ядра эта техника не работает для новых окон с 22H2.

• Процесс -следование: этот POC выполняет процесс поваренной. В отличие от оригинала, изображение PE анализируется в новую область памяти вместо использования ZwUnmapViewOfSection / NtUnmapViewOfSection .

• Procmemscan: Это диагностический инструмент для исследования удаленного процесса. Смотрите readme.md.

• ProtectedProcess: этот набор инструментов предназначен для тестирования защищенного процесса. Смотрите readme.md.

• Отражаемое количество: этот набор инструментов предназначен для тестирования отражающей инъекции DLL. Смотрите readme.md.

• SRDI: Этот каталог предназначен для инструмента для SRDI (инъекция DLL DLL SheltCode). Смотрите readme.md.

• TransactedHollowing: этот POC выполняет сделку, впадимую.

• Wmispawn: этот POC пытается создать процесс с WMI. Процессы будут появляться как детские процессы WmiPrvSE.exe . Поддерживает выполнение процесса локальной машины и выполнение процесса удаленной машины. Использование может видеть readme.md.

ПРИМЕЧАНИЕ. В настоящее время процесс, съемный код, не работает для сборки отладки. Чтобы проверить его, используйте сборку выпуска. Смотрите эту проблему.

• Предотвращение предотвращения DLL в вашей вредоносной программе

• Оставаться под радаром - часть 1 - Ссылка PPID и блокировка DLLS

• Ссылка PPID и Blockdlls с ntcreateuserprocess

• Скрыть артефакты: процесс аргумента

• Возврат подразделения части 2: Командная строка подделка строки

• GitHub - Bats3c/DarkLoadLibrary

• Обход обратных вызовов загрузки изображения ядра

• Маскировать артефакты вредоносной памяти - Часть I: Phantom DLL Plowing

• Github-forrest-orm/phantom-dll-hollower-poc

• Манипуляция с токеном доступа: Сопробование PID PID

• Ссылка PID PID (MITRE: T1134)

• Как обнаружить атаки подделки PID PID (PPID)

• Идентификатор родительского процесса (PPID).

• Возврат подразделения части 1: Идентификатор родительского идентификатора процесса.

• Потерянный в транзакциях: процесс уплотнения

• Инъекция процесса: процесс доппельгана

• Процесс утепления - новый способ выдать себя за процесс

• Что вам нужно знать о призраке процесса, новой исполняемой атаке подделка изображения

• Процесс призрачной атаки

• GitHub - jxy -s/herpaderping

• Обработайте Herpaderping

• Обработать Herpaderping (Miter: T1055)

• Инъекция процесса: процесс погашения

• Процесс пустых и портативных исполняемых перемещений

• Github - hasherezade/transacted_hollowing

• Неизвестный известный DLLS

• Нереальный режим: нарушение защищенных процессов

• Эволюция защищенных процессов-Часть 1: смягчения проходов в Windows 8.1

• Эволюция защищенных процессов, часть 2: смягчения эксплуатации/джейлбрейка, невыбранные процессы и защищенные услуги

• Защищенные процессы Часть 3: Внутренние внутренности Windows PKI (уровни подписания, сценарии, корневые ключи, ekus & Signers) Подписавшиеся)

• Уловки эксплуатации Windows: Использование создания произвольного каталога объектов для локальной высоты привилегии

• Инъекция кода в защищенные процессы Windows с использованием com - Часть 1

• Инъекция кода в защищенные процессы Windows с использованием com - Часть 2

• Вы действительно знаете о защите LSA (Runasppl)?

• Обход защиты LSA в пользовательском языке

• Отладка защищенных процессов

• Конец ppldump

• Защита защищенных процессов Windows

• Актуальность функций безопасности, представленных в современной ОС Windows

• Обход защиты LSA (он же защищенный процесс) без Mimikatz в Windows 10

• Отладка неразрешимой и поиск CVE в Microsoft Defender для конечной точки

• Продукты по борьбе с песочницей для развлечения и прибыли

• GitHub - Elastic/Pplguard

• GitHub - Gabriellandau/pplfault

• Ppldump мертв. Long Live Ppldump (видео)

• Ppldump мертв. Давно живой Ppldump (слайд)

• GitHub - Стивенфеер/Отражаемое начало

• SRDI - инъекция DLL с помощью ShellCode

• GitHub - Монокгас/SRDI

• Улучшенная техника инфекционного введения DLL

Спасибо за исследование:

• Tal Liberman (@tal_liberman)

• Юджин Коган (@eukogan)

• hasherezade (@hasherezade)

• Габриэль Ландау (@gabriellandau)

• Forrest orr (@_forrestorr)

• Стивен меньше (@stephenfewer)

• Batsec (@_batsec_)

• Ник Ландерс (@monoxgas)