项目地址

https://github.com/nccgroup/DetectWindowsCopyOnWriteForAPI

用于威胁搜寻的 Windows 进程属性枚举工具

背景

这些工具的目的是枚举 Windows 进程的特征，这些特征支持检测威胁参与者使用的进程注入 tradecraft。

工具

• d-cow - Windows Copy on Write Detector 用于共享 Windows API（例如 EtwEventWrite）以检测内存修补
• d-criticalsections - 枚举一个 Windows 进程有多少个临界区
• d-dr-registers - 枚举设置了调试寄存器以指示硬件断点的进程
• d-nonmodulecallstack - 枚举所有线程的调用堆栈和相关模块和函数
• d-peb-dll-loadreason - 枚举原因和日期/时间戳以及用于 DLL 加载的主二进制文件的增量
• d-teb - 枚举冒充其他用户的线程
• d-threat-start - 枚举每个线程的起始地址和指向哪个模块
• d-vehimplant - 枚举向量异常处理程序及其指向的模块
• d-vehlab - VEH 工作的沙箱

标签：工具分享, 主机安全