TangledWinExec

該存儲庫用於調查Windows流程執行技術。大多數POC給出了與該技術相對應的名稱。

• BlockingDll：此工具集用於測試阻止DLL過程。請參閱readme.md。

• cloneProcess：此目錄用於過程分叉和反射。請參閱readme.md。

• CommandLinesPoofing：此POC執行命令行欺騙。此技術可能對Windows 11不起作用。

• DarkloadLibrary：此目錄中的POC用於測試由@_batsec_發布的暗負載庫。請參閱readme.md

• 幽靈般的關注：此POC執行幽靈般的空心。

• MISC：此目錄是用於在此存儲庫中開發POC的幫助人工具。

• PhantomDllhollower：此POC執行幻影DLL挖空。請參閱readme.md。

• PPIDSpoofing：此POC執行PPID欺騙。

• ProcessDoppelGaenging：此POC執行過程Doppelgänging。由於Microsoft Defender的內核保護改進，此技術對最近的Windows OS不起作用（也許是2021年以來）。因此，如果您想在較新的環境中測試此技術，則必須停止Microsoft/Windows Defender Antivirus Service 。請參閱Hasherezade的存儲庫的問題。

• ProcessGhoSting：此POC執行過程鬼影。由於內核的保護，此技術從22H2起對較新的窗口無效。

• ProcessHerpaderping：此POC執行過程皰疹。由於文件鎖定問題，如果您選擇一個小於要執行的虛假圖像文件，則文件大小縮小會失敗，並且損壞了毛髮過程的文件簽名。為了充分利用此技術，假圖像文件大小應比您要執行的大。由於內核的保護，此技術從22H2起對較新的窗口無效。

• processHollowing：此POC執行過程挖空。與原始圖像不同，PE圖像被解析為新的存儲區域，而不是使用ZwUnmapViewOfSection / NtUnmapViewOfSection 。

• procmemscan：這是研究遠程過程的診斷工具。請參閱readme.md。

• 保護程序：此工具集用於測試受保護的過程。請參閱readme.md。

• 反射式記錄：此工具集用於測試反射性DLL注入。請參閱readme.md。

• SRDI：此目錄是用於srdi的工具（殼碼反射DLL注入）。請參閱readme.md。

• TransactedHollowing：此POC執行交易式挖空。

• WMISPAWN：此POC試圖使用WMI產生過程。這些過程將作為WmiPrvSE.exe的兒童過程產生。支持本地機器進程執行和遠程機器進程執行。用法可以看到readme.md。

注意：當前的Process Hollowing代碼不適用於調試構建。要測試它，請使用發布構建。看到這個問題。

• 防止第三方DLL注入惡意軟件

• 留在雷達下 - 第1部分 - PPID欺騙和阻止DLL

• 帶有ntcreateuserProcess的ppid欺騙和塊

• 隱藏工件：過程參數欺騙

• 欺騙第2部分的返回：命令行欺騙

• GitHub -BATS3C/Darkloadlibrary

• 繞過圖像負載內核回調

• 掩蓋惡意記憶偽像 - 第一部分：幻影DLL空心

• github- forrest-orr/phantom-dll-hollower-poc

• 訪問令牌操作：父母PID欺騙

• 父pid欺騙（MITER：T1134）

• 如何檢測父pid（PPID）欺騙攻擊

• 父進程ID（PPID）欺騙

• 欺騙第1部分的返回：父進程ID欺騙

• 交易中丟失：過程Doppelgänging

• 過程注入：過程Doppelgänging

• 流程doppelgänging - 一種模擬過程的新方法

• 您需要了解的有關過程鬼魂，新的可執行您的圖像篡改攻擊

• 處理重影攻擊

• GitHub -JXY -S/Herpaderping

• 處理皰疹

• 過程皰疹（斜切：T1055）

• 過程注入：過程空心

• 處理空心和便攜式可執行式重新定位

• github- hasherezade/transacted_hollowing

• 未知的dll

• 虛幻模式：打破受保護的過程

• 受保護過程的演變 - 第1部分：Windows 8.1中的通過障礙緩解

• 受保護過程的演變第2部分：利用/越獄緩解，無殺傷的過程和保護服務

• 受保護的過程第3部分：Windows PKI內部設備（簽名級別，方案，根鍵，Ekus和運行時簽名者）

• Windows開發技巧：利用任意對象目錄創建特權本地高程

• 使用COM將代碼注入Windows受保護的過程 - 第1部分

• 使用COM將代碼注入Windows受保護的過程 - 第2部分

• 您真的知道LSA保護（RunAsppl）嗎？

• 繞過Userland的LSA保護

• 調試受保護的過程

• ppldump的結尾

• 保護窗戶受保護的過程

• 現代Windows OS中引入的安全功能的相關性

• 繞過LSA保護（又名受保護的過程燈），而沒有Mimikatz Windows 10

• 調試不可伸出的不可思議，並在Microsoft Defender中找到CVE的端點

• 沙盒抗磁性軟件產品，以娛樂和利潤

• github-彈性/pplguard

• Github -Gabriellandau/pplfault

• ppldump死了。萬歲PPLDUMP（視頻）

• ppldump死了。萬歲PPLDUMP（幻燈片）

• github -stephenfewer/felferiveLIVEDLLINEXTIEN

• SRDI - 殼碼反射DLL注射

• github -Monoxgas/srdi

• 改進的反射性DLL注入技術

感謝您的研究：

• TAL Liberman（@Tal_Liberman）

• Eugene Kogan（@eukogan）

• Hasherezade（@hasherezade）

• 加布里埃爾·蘭道（@gabriellandau）

• forrest orr（@_forrestorr）

• 斯蒂芬（Stephen）少（@StePhenFewer）

• batsec（@_batsec_）

• 尼克·蘭德斯（@monoxgas）