Minhas fontes antigas para processo Doppelganging em linguagem assembly (FASM, x64/x86); Como o código assembler acima, isso é apenas uma coisa interessante para compartilhar e não um PoC realmente prático porque uma linguagem assembly é muito difícil de trabalhar em Projetos reais. A própria técnica de doppelganging tornou-se inutilizável "na natureza" devido a melhorias de segurança do kernel (o driver de minifiltro do Windows Defender chamado wdfilter.sys tem proteções contra a criação de processos com portoçao de processos de õarquies), doppelganging não funciona nas últimas versões do Windows (> Windows 10 versão 1809); consulte: https://github.com/hasherezade/process_doppelganging/issues/3#issuecomment-901800538 . Mas ainda é interessante de ler.
O doppelganging funciona usando duas funções separadas juntas para mascarar ou baixar de um executável especificado. usando uma função chamada NTFS transacional (TxF) no Windows para fazer alterações em um executável que nunca será gravado em disco, usando o identificador desse arquivo, podemos criar um objeto de referência e criar um novo processo a partir.
texto original:
Meus antigos códigos-fonte para Process Doppelganging em linguagem assembly (FASM, x64/x86); Como o código assembly acima, isso é apenas uma coisa interessante para compartilhar e não um PoC realmente prático, porque a linguagem assembly é muito difícil de manejar em Projetos do mundo real. A própria técnica de doppelganging tornou-se adquirida para uso "in the wild" devido a melhorias na proteção do kernel (um driver de minifiltro do Windows Defender chamado wdfilter.sys tem mitigações contra a criação de processos com objetos de acar) então Doppelganging não funciona com versões recentes do Windows (> Windows 10 Versão 1809); consulte: https://github.com/hasherezade/process_doppelganging/issues/3#issuecomment-901800538 . Mas ainda é interessante de ler.
O doppelganging funciona usando dois recursos distintos juntos para mascarar o carregamento de um executável executável. usando uma função chamada NTFS transacional (TxF) no Windows para fazer alterações em um arquivo executável que nunca será gravado em disco, usando o identificador desse arquivo podemos criar um objeto de seleção e criar um novo processo a partir dele.
O doppelganging funciona usando duas funções separadas juntas para mascarar ou baixar de um executável especificado. usando uma função chamada NTFS transacional (TxF) no Windows para fazer alterações em um executável que nunca será gravado em disco, usando o identificador desse arquivo, podemos criar um objeto de referência e criar um novo processo a partir.
texto original:
Meus antigos códigos-fonte para Process Doppelganging em linguagem assembly (FASM, x64/x86); Como o código assembly acima, isso é apenas uma coisa interessante para compartilhar e não um PoC realmente prático, porque a linguagem assembly é muito difícil de manejar em Projetos do mundo real. A própria técnica de doppelganging tornou-se adquirida para uso "in the wild" devido a melhorias na proteção do kernel (um driver de minifiltro do Windows Defender chamado wdfilter.sys tem mitigações contra a criação de processos com objetos de acar) então Doppelganging não funciona com versões recentes do Windows (> Windows 10 Versão 1809); consulte: https://github.com/hasherezade/process_doppelganging/issues/3#issuecomment-901800538 . Mas ainda é interessante de ler.
O doppelganging funciona usando dois recursos distintos juntos para mascarar o carregamento de um executável executável. usando uma função chamada NTFS transacional (TxF) no Windows para fazer alterações em um arquivo executável que nunca será gravado em disco, usando o identificador desse arquivo podemos criar um objeto de seleção e criar um novo processo a partir dele.