首页>编程相关>其他源码
下载

纠结的Winexec

该存储库用于调查Windows流程执行技术。大多数POC给出了与该技术相对应的名称。

项目

  • BlockingDll:此工具集用于测试阻止DLL过程。请参阅readme.md。

  • cloneProcess:此目录用于过程分叉和反射。请参阅readme.md。

  • CommandLinesPoofing:此POC执行命令行欺骗。此技术可能对Windows 11不起作用。

  • DarkloadLibrary:此目录中的POC用于测试由@_batsec_发布的暗负载库。请参阅readme.md

  • 幽灵般的关注:此POC执行幽灵般的空心。

  • MISC:此目录是用于在此存储库中开发POC的帮助人工具。

  • PhantomDllhollower:此POC执行幻影DLL挖空。请参阅readme.md。

  • PPIDSpoofing:此POC执行PPID欺骗。

  • ProcessDoppelGaenging:此POC执行过程Doppelgänging。由于Microsoft Defender的内核保护改进,此技术对最近的Windows OS不起作用(也许是2021年以来)。因此,如果您想在较新的环境中测试此技术,则必须停止Microsoft/Windows Defender Antivirus Service 。请参阅Hasherezade的存储库的问题。

  • ProcessGhoSting:此POC执行过程鬼影。由于内核的保护,此技术从22H2起对较新的窗口无效。

  • ProcessHerpaderping:此POC执行过程疱疹。由于文件锁定问题,如果您选择一个小于要执行的虚假图像文件,则文件大小缩小会失败,并且损坏了毛发过程的文件签名。为了充分利用此技术,假图像文件大小应比您要执行的大。由于内核的保护,此技术从22H2起对较新的窗口无效。

  • processHollowing:此POC执行过程挖空。与原始图像不同,PE图像被解析为新的存储区域,而不是使用ZwUnmapViewOfSection / NtUnmapViewOfSection

  • procmemscan:这是研究远程过程的诊断工具。请参阅readme.md。

  • 保护程序:此工具集用于测试受保护的过程。请参阅readme.md。

  • 反射式记录:此工具集用于测试反射性DLL注入。请参阅readme.md。

  • SRDI:此目录是用于srdi的工具(壳码反射DLL注入)。请参阅readme.md。

  • TransactedHollowing:此POC执行交易式挖空。

  • WMISPAWN:此POC试图使用WMI产生过程。这些过程将作为WmiPrvSE.exe的儿童过程产生。支持本地机器进程执行和远程机器进程执行。用法可以看到readme.md。

注意:当前的Process Hollowing代码不适用于调试构建。要测试它,请使用发布构建。看到这个问题。

参考

阻止DLL

  • 防止第三方DLL注入恶意软件

  • 留在雷达下 - 第1部分 - PPID欺骗和阻止DLL

  • 带有ntcreateuserProcess的ppid欺骗和块

命令行欺骗

  • 隐藏工件:过程参数欺骗

  • 欺骗第2部分的返回:命令行欺骗

深负荷库

  • GitHub -BATS3C/Darkloadlibrary

  • 绕过图像负载内核回调

Phantom DLL空心

  • 掩盖恶意记忆伪像 - 第一部分:幻影DLL空心

  • github- forrest-orr/phantom-dll-hollower-poc

PPID欺骗

  • 访问令牌操作:父母PID欺骗

  • 父pid欺骗(MITER:T1134)

  • 如何检测父pid(PPID)欺骗攻击

  • 父进程ID(PPID)欺骗

  • 欺骗第1部分的返回:父进程ID欺骗

过程Doppelgänging

  • 交易中丢失:过程Doppelgänging

  • 过程注入:过程Doppelgänging

  • 流程doppelgänging - 一种模拟过程的新方法

过程鬼影

  • 您需要了解的有关过程鬼魂,新的可执行您的图像篡改攻击

  • 处理重影攻击

处理疱疹

  • GitHub -JXY -S/Herpaderping

  • 处理疱疹

  • 过程疱疹(斜切:T1055)

过程挖空

  • 过程注入:过程空心

  • 处理空心和便携式可执行式重新定位

幽灵般的空心和交易式空心

  • github- hasherezade/transacted_hollowing

受保护的过程

  • 未知的dll

  • 虚幻模式:打破受保护的过程

  • 受保护过程的演变 - 第1部分:Windows 8.1中的通过障碍缓解

  • 受保护过程的演变第2部分:利用/越狱缓解,无杀伤的过程和保护服务

  • 受保护的过程第3部分:Windows PKI内部设备(签名级别,方案,根键,Ekus和运行时签名者)

  • Windows开发技巧:利用任意对象目录创建特权本地高程

  • 使用COM将代码注入Windows受保护的过程 - 第1部分

  • 使用COM将代码注入Windows受保护的过程 - 第2部分

  • 您真的知道LSA保护(RunAsppl)吗?

  • 绕过Userland的LSA保护

  • 调试受保护的过程

  • ppldump的结尾

  • 保护窗户受保护的过程

  • 现代Windows OS中引入的安全功能的相关性

  • 绕过LSA保护(又名受保护的过程灯),而没有Mimikatz Windows 10

  • 调试不可伸出的不可思议,并在Microsoft Defender中找到CVE的端点

  • 沙盒抗磁性软件产品,以娱乐和利润

  • github-弹性/pplguard

  • Github -Gabriellandau/pplfault

  • ppldump死了。万岁PPLDUMP(视频)

  • ppldump死了。万岁PPLDUMP(幻灯片)

反射性DLL注入

  • github -stephenfewer/felferiveLIVEDLLINEXTIEN

srdi

  • SRDI - 壳码反射DLL注射

  • github -Monoxgas/srdi

  • 改进的反射性DLL注入技术

致谢

感谢您的研究:

  • TAL Liberman(@Tal_Liberman)

  • Eugene Kogan(@eukogan)

  • Hasherezade(@hasherezade)

  • 加布里埃尔·兰道(@gabriellandau)

  • forrest orr(@_forrestorr)

  • 斯蒂芬(Stephen)少(@StePhenFewer)

  • batsec(@_batsec_)

  • 尼克·兰德斯(@monoxgas)

展开
附加信息
相关应用
为您推荐
相关资讯 全部