探索技术创新:Process Doppelgänging 开源实现

最新推荐文章于 2024-09-07 09:06:00 发布
最新推荐文章于 2024-09-07 09:06:00 发布
阅读量434 收藏 7
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00089/article/details/139056752
版权

探索技术创新:Process Doppelgänging 开源实现

去发现同类优质开源项目:https://gitcode.com/

1、项目介绍

Process Doppelgänging,这个名字来源于德语,意为“双重人格”,在安全领域中,它代表了一种先进的进程伪造技术。这个开源项目由 hasherezade 提供,是对 enSilo 研究团队提出的一种新型攻击手段的实现。该项目允许创建一个看似合法,但实际上已经注入恶意代码的进程,有效避开了传统反病毒软件的检测。

Process Doppelgänging

2、项目技术分析

  • Payload 映射:Payload 被映射为 MEM_IMAGE 类型,未命名且不关联任何文件,提高了隐蔽性。
  • 权限管理:Payload 的各个段按照原始访问权限进行映射,确保了操作的合法性。
  • PEB 结构:Payload 与进程环境块(PEB)连接,被识别为主模块,增强了欺骗性。
  • 远程注入支持:尽管有局限,但支持将 payload 注入到新创建的进程中,提供了一定的灵活性。
  • 匿名进程:创建的进程源自一个未命名模块,调用 GetProcessImageFileName 返回空字符串,增加了伪装程度。

3、项目及技术应用场景

Process Doppelgänging 技术可能被用于高级威胁研究、安全测试以及防御策略开发。通过模拟这种高级攻击手段,安全研究人员可以更好地理解潜在的威胁,并改进现有防御机制。此外,对于开发者来说,该项目可以帮助他们了解系统内部工作原理,提高对进程安全的理解和控制。

4、项目特点

  • 兼容性明确:32位版本仅适用于32位操作系统。
  • 高效隐形:通过特殊的映射方式和权限设置,使恶意负载难以被察觉。
  • 可扩展性:虽然目前只支持注入新创建的进程,但提供了进一步研发的可能性。
  • 教育价值:作为一个开源项目,它为学习进程伪造技术提供了实践平台。

注意事项

请注意,使用或研究 Process Doppelgänging 应遵守相关法律法规,不得用于非法活动。同时,对于不熟悉这类技术的用户,建议先了解相关背景知识再进行尝试。

项目地址:https://ci.appveyor.com/project/hasherezade/process-doppelgänging

探索并掌握这一独特技术,让我们一起迈进安全研究的新境界!

去发现同类优质开源项目:https://gitcode.com/

宋韵庚
关注
baller2vec:用于多主体时空建模的多实体变压器
04-09
此外, baller2vec嵌入空间中的最近邻居是合理的doppelgängers。 图片提供者: , , , , 和 。 此外, baller2vec几个注意头似乎执行与篮球相关的不同功能,例如预期传球。 生成GIF的代码改编自。 在这里,...
doppelchat:与ReactPeer.jswebpack的糟糕的P2P视频聊天
04-29
工作标题“ doppelchat”反映出我想创建一个聊天应用程序,使人们能够与doppelgänger进行交谈。 点对点 P2P网络使用WebRTC,因此当前将浏览器限制为Chrome和Firefox。 强大的库用于使客户端中的事务变得平滑,并且...
Process Doppelgänging
weixin_30659829的博客
12-08 282
Process Doppelgänging -- 新的代码注入技术,通杀windows系统的所有版本,并且能绕过绝大多数的安全软件。 介绍 今天(2017-12-07),在伦敦举行的2017年黑帽欧洲安全会议上,来自网络安全公司enSilo的两位安全研究人员描述了一种新的代码注入技术“ProcessDoppelgänging”。 研究人员介绍这种新的攻击方式适用所有的Windows版本,...
推荐文章:探索进程双胞胎技术——Inject-dll-by-Process-Doppelganging
gitblog_00028的博客
06-12 422
推荐文章:探索进程双胞胎技术——Inject-dll-by-Process-Doppelganging 去发现同类优质开源项目:https://gitcode.com/ 项目介绍 在当今的网络安全与逆向工程领域,隐藏操作和对程序行为的操控至关重要。一个名为Inject-dll-by-Process-Doppelganging开源项目映入我们的眼帘,它基于独特的【Process Doppelgän...
mfc检测一个目录是否产生新文件_Txhollower使用Process Doppelgnging绕过检测
weixin_39710462的博客
12-03 203
背景研究人员在分析GandCrab勒索软件过程中,发现一个有趣的行为:即在攻击链中使用了Process Hollowing技术。但这并不完全是一种Process Hollowing实现,而是一种包含了Process Doppelgänging的混合变种。研究人员将该加载器命名为TxHollower,因为Transactional NTFS API的缩写就是TxF,而Malwarebyt...
推荐文章:深入探索Transacted Hollowing —— 高级PE注入技术
gitblog_00866的博客
08-28 337
推荐文章:深入探索Transacted Hollowing —— 高级PE注入技术 transacted_hollowingTransacted Hollowing - a PE injection technique, hybrid between ProcessHollowing and ProcessDoppelgänging项目地址:https://gitcode.com/gh_mirr...
Process Refund 开源项目教程
gitblog_00295的博客
09-07 429
Process Refund 开源项目教程 processrefundAn attempt at Process Doppelgänging项目地址:https://gitcode.com/gh_mirrors/pr/processrefund 1. 项目介绍 Process Refund 是一个开源项目,旨在帮助开发者处理和自动化退款流程。该项目提供了一套工具和API,使得开发者能够轻松地管理...
十大最常见的ATT&CK战术及技术
白帽子凯哥哥的博客
06-25 2456
ATT&CK框架是一个网络安全综合性知识库,通过对攻击生命周期各阶段的实际观察,从而对攻击者行为进行理解与分类,已成为研究威胁模型和方法的基础工具。随着厂商及企业对该框架的广泛采用,ATT&CK知识库已公认成为了解攻击者的行为模型与技术权威。Picus研究人员从各种来源收集了超过二十万真实世界威胁样本,确定了样本的战术、技术和程序(TTP),并对每个TTP进行了分类,所有样本超过180万种ATT&CK技术。
PE-sieve:轻量级的进程扫描利器,守护你的系统安全
gitblog_00532的博客
08-29 549
PE-sieve:轻量级的进程扫描利器,守护你的系统安全 pe-sieveScans a given process. Recognizes and dumps a variety of potentially malicious implants (replaced/injected PEs, shellcodes, hooks, in-memory patches).项目地址:https:/...
ProcessDoppelgänging的尝试_C_下载.zip
04-26
它在2018年被安全研究人员发现,是继Process Hollowing、Process Doppelgänging之后的一种进程注入方法,旨在绕过反病毒软件的检测。这个压缩包“ProcessDoppelgänging的尝试_C_下载.zip”内包含的文件名...
信息安全_数据安全_In NTDLL I Trust - Process Reima.pdf
08-22
这种技术的影响力可以与Process Hollowing(空壳进程)和Process Doppelgänging(双重人格进程)相提并论,都属于Mitre ATT&CK框架中的防御规避类别。恶意进程能在端点上持久存在,直到系统重启或在签名更新后进行...
过程二重身_C_下载.zip
04-26
过程二重身(Process Doppelgänging)的概念首次由安全研究人员在2017年提出,它巧妙地利用了Windows的进程初始化阶段的一个漏洞。通常,当一个进程启动时,操作系统会创建一个进程映像,然后加载相应的DLL。然而,...
北航数理统计fisher判别例题及课后题MATLAB实现
最新发布
11-13
<项目介绍> - 北航数理统计fisher判别例题及课后题MATLAB实现 - 不懂运行,下载完可以私聊问,可远程教学 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。 --------
安装Linux操作系统注意事项
11-13
linux
校园失物招领网站(程序+数据库+报告)
11-13
基于Spring Boot框架实现的校园失物招领网站,系统包含两种角色:管理员、用户,系统分为前台和后台两大模块,主要功能如下。 【前台】: - 首页留言板:展示用户对网站的留言和反馈信息。 - 公告信息:管理员发布的重要公告和通知信息。 - 失物信息:展示已发布的失物信息。 - 寻物启事:用户发布的寻物启事。 - 个人中心:用户可以查看和编辑个人信息。 【管理员】: - 个人中心:管理员可以查看和编辑个人信息。 - 管理员管理:管理员可以对其他管理员进行管理,包括添加、编辑和删除管理员账号。 - 操作日志管理:记录管理员的操作日志,包括登录、发布公告、删除失物信息等。 - 基础数据管理:管理员可以管理系统的基础数据,包括分类、标签等信息的添加、编辑和删除。 - 留言板管理:管理员可以管理首页留言板的留言信息,包括审核、删除等操作。 - 公告信息管理:管理员可以发布和管理系统的公告信息,包括添加、编辑和删除公告。 - 失物信息管理:管理员可以管理失物信息,包括审核、删除等操作。 - 寻物启事管理:管理员可以管理寻物启事,包括审核、删除等操作。 - 用户管理:管理员可以管理用户账号,
【阿里妈妈-2024研报】消费热点|阿里妈妈热点指南VOL.22.pdf
11-13
行业研究报告、行业调查报告、研报
(源码)基于PyTorch的YOLOv5目标检测系统.zip
11-13
# 基于PyTorch的YOLOv5目标检测系统 ## 项目简介 本项目是基于PyTorch框架实现的YOLOv5目标检测系统。YOLOv5是一种高效的目标检测算法,能够在实时场景中快速准确地检测出图像中的多个目标。本项目提供了完整的训练、预测和评估流程,支持自定义数据集的训练和模型性能的评估。 ## 项目的主要特性和功能 1. 高性能目标检测基于YOLOv5算法,能够在实时场景中高效地检测出图像中的多个目标。 2. 多模型支持支持YOLOv5的不同规模模型(如YOLOv5s、YOLOv5m、YOLOv5l、YOLOv5x),用户可以根据需求选择合适的模型。 3. 自定义数据集训练支持使用自定义数据集进行模型训练,用户可以根据自己的需求训练特定类别的目标检测模型。 4. 模型评估提供详细的模型评估功能,包括计算平均精度(mAP)和绘制性能曲线。 5. 多种预测模式支持单张图片预测、视频检测、FPS测试、目录遍历检测等多种预测模式。
树莓派4B开发板上,通过Qt+FFMPEG以多线程分别解码、编码USB摄像头视频数据
11-13
 本项目为在树莓派4B开发板上,通过Qt+FFMPEG以多线程分别解码、编码USB摄像头视频数据。其中USB摄像头视频输入格式为MJPEG。通过树莓派的硬件编码器“h264_omx”进行硬件编码封装成mp4文件。详细说明见https://blog.csdn.net/wang_chao118/article/details/143743277?sharetype=blogdetail&sharerId=143743277&sharerefer=PC&sharesource=wang_chao118&spm=1011.2480.3001.8118
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

宋韵庚

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值