用于调查Windows进程执行技术的C# PoCs
作者:Sec-Labs | 发布时间:
项目地址
https://github.com/daem0nc0re/TangledWinExec
Tangled WinExec
此存储库用于研究 Windows 进程执行技术。大多数 PoC 都有一个与该技术相对应的名称。
项目
-
BlockingDLL:此工具集用于测试阻塞 DLL 进程。请参阅README.md。
-
CommandLineSpoofing:这个 PoC 执行命令行欺骗。
-
GhostlyHollowing:这个 PoC 执行 Ghostly Hollowing。
-
PPIDSpoofing:此 PoC 执行 PPID 欺骗。
-
ProcessDoppelgaenging:这个 PoC 执行 Process Doppelgänging。由于内核保护改进,此技术不适用于最近的 Windows 操作系统(据我测试,> Windows 10 版本 1809)。请参阅hasherezade的存储库的问题。
-
ProcessGhosting:此 PoC 执行 Process Ghosting。
-
ProcessHerpaderping:此 PoC 执行 Process Herpaderping。由于文件锁定问题,如果您选择的假图像文件比您要执行的要小,文件大小缩小将失败并损坏 Herpaderping 过程的文件签名。要充分利用此技术,假图像文件的大小应大于您想要执行的大小。
-
ProcessHollowing:这个 PoC 执行 Process Hollowing。与原来不同的是,PE 图像被解析到一个新的内存区域,而不是使用
ZwUnmapViewOfSection/NtUnmapViewOfSection。 -
ProcMemScan:这是一个用于调查远程进程的诊断工具。请参阅README.md。
-
TransactedHollowing:这个 PoC 执行 Transacted Hollowing。
-
WmiSpawn:此 PoC 尝试使用 WMI 生成进程。这些进程将作为
WmiPrvSE.exe. 支持本地机器进程执行和远程机器进程执行。用法可以看README.md。
注意:目前ProcessHollowing代码不适用于 Debug 构建。要对其进行测试,请使用 Release build。看到这个问题。
参考
阻塞 DLL
命令行欺骗
PPID 欺骗
-
https://www.hackingarticles.in/parent-pid-spoofing-mitret1134/
-
https://www.picussecurity.com/resource/blog/how-to-detect-parent-pid-ppid-spoofing-attacks
-
https://www.ired.team/offensive-security/defense-evasion/parent-process-id-ppid-spoofing
-
https://blog.nviso.eu/2020/01/31/the-return-of-the-spoof-part-1-parent-process-id-spoofing/