• XSS.stack #1 – первый литературный журнал от юзеров форума

Исходный код: FASM-(x64/x86) Process Doppelganging

Отслеживать
Bathory

Bathory

HDD-drive
Пользователь
Регистрация
26.11.2022
Сообщения
22
Реакции
20
Мои старые исходные коды для Process Doppelganging на языке ассемблера (FASM, x64/x86); Как и приведенный выше код на ассемблере, это просто интересная вещь, которой можно поделиться, а не действительно практичный PoC, потому что с языком ассемблера слишком сложно работать в реальных проектах. Сама техника доппельгангинга стала непригодной для использования "В дикой природе" из-за улучшений защиты ядра (драйвер мини-фильтра Защитника Windows, называемый wdfilter.sys он имеет средства защиты от создания процессов с файловыми объектами в транзакциях), поэтому Doppelganging не работает в последних версиях Windows (> Windows 10 версии 1809); см.: https://github.com/hasherezade/process_doppelganging/issues/3#issuecomment-901800538. Но читать все равно интересно.

Доппелгангинг работает, используя две отдельные функции вместе, чтобы замаскировать загрузку измененного исполняемого файла. используя функцию с именем Transactional NTFS (TxF) в Windows для внесения изменений в исполняемый файл, который никогда не будет записан на диск, используя дескриптор этого файла, мы можем создать объект раздела, а затем создать из него новый процесс.

original text:
My old source codes for Process Doppelganging in assembly language (FASM, x64/x86); Like the assembly code above, this is just an interesting thing to share and not an actually practical PoC, because assembly language is too unwieldy in real world projects. The doppelganging technique itself became unsuitable for use "in the wild" due to improvements in kernel protection (a Windows Defender minifilter driver called wdfilter.sys has mitigations against creating processes with file objects in transactions), so Doppelganging doesn't work recent versions of Windows(> Windows 10 Version 1809); see: https://github.com/hasherezade/process_doppelganging/issues/3#issuecomment-901800538. But it's still interesting to read.

Doppelganging works by using two distinct features together to mask the loading of a modified executable. using a function called Transactional NTFS (TxF) in Windows to make changes to an executable file that will never be written to disk, using that file's identifier we can create a section object and then create a new process from it.
 

Вложения

  • ProcessDoppel-x86_x64.zip
    10 КБ · Просмотры: 20
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх