หน้าแรก>การเขียนโปรแกรมที่เกี่ยวข้อง>ซอร์สโค้ดอื่น ๆ
ดาวน์โหลด

Winexec ที่พันกัน

ที่เก็บนี้มีไว้สำหรับการตรวจสอบเทคนิคการดำเนินการตามกระบวนการของ Windows POC ส่วนใหญ่จะได้รับชื่อที่สอดคล้องกับเทคนิค

โครงการ

  • BlockingDll: ชุดเครื่องมือนี้ใช้สำหรับการทดสอบกระบวนการบล็อก DLL ดู readme.md

  • Cloneprocess: ไดเรกทอรีนี้มีไว้สำหรับกระบวนการและการไตร่ตรอง ดู readme.md

  • CommandLinespoofing: POC นี้ดำเนินการปลอมแปลงบรรทัดคำสั่ง เทคนิคนี้อาจไม่ทำงานสำหรับ Windows 11

  • DarkloadLibrary: POCs ในไดเรกทอรีนี้มีไว้สำหรับการทดสอบไลบรารี Dark Load ซึ่งวางจำหน่ายโดย @_batsec_ ดู readme.md

  • Ghostlyhollowing: POC นี้ดำเนินการกลวงผี

  • MISC: ไดเรกทอรีนี้มีไว้สำหรับเครื่องมือผู้ช่วยในการพัฒนา POCs ในที่เก็บนี้

  • Phantomdllhollower: POC นี้ดำเนินการ phantom dll hollowing ดู readme.md

  • PPIDSpoofing: POC นี้ดำเนินการปลอมแปลง PPID

  • ProcessDoppelgaenging: POC นี้ดำเนินการตามกระบวนการdoppelgänging เนื่องจากการปรับปรุงการป้องกันเคอร์เนลสำหรับ Microsoft Defender เทคนิคนี้ไม่ทำงานสำหรับ Windows OS ล่าสุด (ตั้งแต่ประมาณ 2021 อาจจะ) ดังนั้นหากคุณต้องการทดสอบเทคนิคนี้ในสภาพแวดล้อมที่ใหม่กว่าจะต้องหยุด Microsoft/Windows Defender Antivirus Service ดูปัญหาสำหรับที่เก็บของ Hasherezade

  • ProcessGhosting: POC นี้ดำเนินการ Ghosting Process เนื่องจากการป้องกันเคอร์เนลเทคนิคนี้ไม่ทำงานสำหรับหน้าต่างใหม่จาก 22h2

  • Processherpaderping: POC นี้ดำเนินการกระบวนการ herpaderping เนื่องจากปัญหาการล็อคไฟล์หากคุณเลือกไฟล์รูปภาพปลอมที่เล็กกว่าที่คุณต้องการเรียกใช้งานการหดขนาดไฟล์จะล้มเหลวและลายเซ็นไฟล์ที่เสียหายสำหรับกระบวนการ herpaderping ในการใช้ประโยชน์อย่างเต็มที่จากเทคนิคนี้ขนาดไฟล์ภาพปลอมควรมีขนาดใหญ่กว่าที่คุณต้องการเรียกใช้ เนื่องจากการป้องกันเคอร์เนลเทคนิคนี้ไม่ทำงานสำหรับหน้าต่างใหม่จาก 22h2

  • Processhollowing: POC นี้ดำเนินการกระบวนการโพรง ซึ่งแตกต่างจากต้นฉบับภาพ PE จะถูกแยกวิเคราะห์เป็นพื้นที่หน่วยความจำใหม่แทนที่จะใช้ ZwUnmapViewOfSection / NtUnmapViewOfSection

  • Procmemscan: นี่เป็นเครื่องมือวินิจฉัยในการตรวจสอบกระบวนการระยะไกล ดู readme.md

  • PretectedProcess: ชุดเครื่องมือนี้ใช้สำหรับการทดสอบกระบวนการป้องกัน ดู readme.md

  • ReflemivedllInject: ชุดเครื่องมือนี้ใช้สำหรับการทดสอบการฉีด DLL แบบสะท้อนแสง ดู readme.md

  • SRDI: ไดเรกทอรีนี้มีไว้สำหรับเครื่องมือในการฉีด SRDI ดู readme.md

  • Transactedhollowing: POC นี้ทำธุรกรรมโพรง

  • WMISPAWN: POC นี้พยายามวางไข่กับ WMI กระบวนการจะวางไข่เป็นกระบวนการเด็กของ WmiPrvSE.exe รองรับการดำเนินการตามกระบวนการของเครื่องในท้องถิ่นและการดำเนินการตามกระบวนการของเครื่องระยะไกล การใช้งานสามารถดู readme.md

หมายเหตุ: รหัสการติดตามกระบวนการในปัจจุบันไม่ทำงานสำหรับบิลด์ดีบั๊ก ในการทดสอบให้ใช้การสร้าง ดูปัญหานี้

อ้างอิง

บล็อก DLL

  • ป้องกันไม่ให้ DLL ของบุคคลที่สามฉีดเข้าไปในมัลแวร์ของคุณ

  • อยู่ใต้เรดาร์ - ตอนที่ 1 - การปลอมแปลง PPID และการปิดกั้น DLLS

  • PPID การปลอมแปลงและ blockdlls ด้วย ntcreateUserProcess

การปลอมแปลงบรรทัดคำสั่ง

  • ซ่อนสิ่งประดิษฐ์: การปลอมแปลงอาร์กิวเมนต์

  • การกลับมาของการปลอมแปลงส่วนที่ 2: การปลอมแปลงบรรทัดคำสั่ง

ห้องสมุดโหลดมืด

  • GitHub - bats3c/darkloadlibrary

  • บายพาสการโทรกลับของเคอร์เนลภาพ

phantom dll hollowing

  • การปิดบังสิ่งประดิษฐ์หน่วยความจำที่เป็นอันตราย - ส่วนที่ 1: Phantom DLL Hollowing

  • GitHub-forrest-orr/phantom-dll-hollower-poc

การปลอมแปลง PPID

  • การเข้าถึงโทเค็นการจัดการ: Parent PID ปลอมแปลง

  • การปลอมแปลง Parent PID (MITER: T1134)

  • วิธีตรวจจับการโจมตีการปลอมแปลง Parent PID (PPID)

  • การปลอมแปลง ID กระบวนการแม่ (PPID)

  • การกลับมาของการปลอมแปลงส่วนที่ 1: การปลอมแปลง ID กระบวนการหลัก

ประมวลผลdoppelgänging

  • หายไปในการทำธุรกรรม: กระบวนการdoppelgänging

  • การฉีดกระบวนการ: กระบวนการdoppelgänging

  • ประมวลผลDoppelgänging - วิธีใหม่ในการเลียนแบบกระบวนการ

ประมวลผลผี

  • สิ่งที่คุณต้องรู้เกี่ยวกับกระบวนการ Ghosting ภาพการโจมตีแบบใหม่

  • ประมวลผลการโจมตี Ghosting

ประมวลผล Herpaderping

  • GitHub - jxy -s/herpaderping

  • ประมวลผล Herpaderping

  • ประมวลผล Herpaderping (MITER: T1055)

กระบวนการโพรง

  • การฉีดกระบวนการ: กระบวนการโพรง

  • ประมวลผลการย้ายถิ่นฐานแบบพกพาและพกพาได้

Ghostly Hollowing และ Transacted Hollowing

  • GitHub - Hasherezade/transacted_hollowing

กระบวนการป้องกัน

  • ไม่รู้จัก DLLS ที่รู้จัก

  • โหมด Unreal: การทำลายกระบวนการที่ได้รับการป้องกัน

  • วิวัฒนาการของกระบวนการที่ได้รับการป้องกัน-ส่วนที่ 1: การบรรเทาผ่าน-แฮชใน Windows 8.1

  • วิวัฒนาการของกระบวนการที่ได้รับการป้องกันส่วนที่ 2: การบรรเทาผลประโยชน์/การแหกคุกกระบวนการที่ไม่สามารถทำได้และบริการที่ได้รับการป้องกัน

  • กระบวนการที่ได้รับการป้องกันส่วนที่ 3: Internals Windows PKI (ระดับการลงนาม, สถานการณ์, ปุ่มรูท, Ekus & Runtime Signers)

  • เทคนิคการแสวงประโยชน์จาก Windows: การใช้ประโยชน์จากการสร้างไดเรกทอรีวัตถุโดยพลการสำหรับการยกระดับสิทธิพิเศษในท้องถิ่น

  • การฉีดรหัสลงในกระบวนการป้องกัน Windows โดยใช้ COM - ส่วนที่ 1

  • การฉีดรหัสลงในกระบวนการป้องกัน Windows โดยใช้ COM - ส่วนที่ 2

  • คุณรู้เกี่ยวกับการป้องกัน LSA (runasppl) จริงๆหรือ?

  • บายพาส LSA Protection ใน Userland

  • การดีบักกระบวนการป้องกัน

  • จุดสิ้นสุดของ ppldump

  • ปกป้องกระบวนการที่ได้รับการปกป้องจาก Windows

  • ความเกี่ยวข้องของคุณสมบัติความปลอดภัยที่แนะนำใน Windows OS ที่ทันสมัย

  • บายพาส LSA Protection (AKA Process Light) โดยไม่มี mimikatz บน windows 10

  • การดีบักผู้ที่ไม่สามารถทำได้และค้นหา CVE ใน Microsoft Defender สำหรับจุดสิ้นสุด

  • Sandboxing Antimalware Products เพื่อความสนุกสนานและผลกำไร

  • GitHub - ยืดหยุ่น/pplguard

  • GitHub - Gabriellandau/pplfault

  • ppldump ตายแล้ว Ppldump สด (วิดีโอ)

  • ppldump ตายแล้ว Ppldump สด (สไลด์)

การฉีด DLL แบบไตร่ตรอง

  • GitHub - Stephenfewer/Reflecidivedlinjection

SRDI

  • SRDI - การฉีด DLL แบบสะท้อนแสง ShellCode

  • GitHub - Monoxgas/Srdi

  • เทคนิคการฉีด DLL แบบสะท้อนแสงที่ดีขึ้น

กิตติกรรมประกาศ

ขอบคุณสำหรับการวิจัยของคุณ:

  • Tal Liberman (@tal_liberman)

  • Eugene Kogan (@eukogan)

  • Hasherezade (@hasherezade)

  • Gabriel Landau (@gabriellandau)

  • forrest orr (@_forrestorr)

  • สตีเฟ่นน้อยลง (@stephenfewer)

  • batsec (@_batsec_)

  • Nick Landers (@Monoxgas)

ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด