TangledWinExec 项目使用教程

TangledWinExec 项目使用教程

TangledWinExecPoCs and tools for investigation of Windows process execution techniques项目地址:https://gitcode.com/gh_mirrors/ta/TangledWinExec

1. 项目的目录结构及介绍

TangledWinExec 项目主要用于调查 Windows 进程执行技术。项目的目录结构如下：

TangledWinExec/
├── BlockingDLL/
│   └── README.md
├── CloneProcess/
│   └── README.md
├── CommandLineSpoofing/
│   └── README.md
├── DarkLoadLibrary/
│   └── README.md
├── GhostlyHollowing/
│   └── README.md
├── Misc/
│   └── README.md
├── PhantomDllHollower/
│   └── README.md
├── TransactedHollowing/
│   └── README.md
└── WmiSpawn/
    └── README.md

目录介绍：

• BlockingDLL: 用于测试阻止 DLL 进程的工具集。
• CloneProcess: 用于进程分叉和反射的目录。
• CommandLineSpoofing: 执行命令行欺骗的 PoC。
• DarkLoadLibrary: 用于测试 Dark Load Library 的 PoC，由 @batsec 发布。
• GhostlyHollowing: 执行 Ghostly Hollowing 的 PoC。
• Misc: 用于开发 PoC 的辅助工具。
• PhantomDllHollower: 包含 Phantom DLL Hollower 的 PoC。
• TransactedHollowing: 执行 Transacted Hollowing 的 PoC。
• WmiSpawn: 使用 WMI 生成进程的 PoC，支持本地和远程机器的进程执行。

2. 项目的启动文件介绍

TangledWinExec 项目没有明确的启动文件，因为每个目录下的 PoC 都是独立的工具或脚本。要启动某个特定的 PoC，请进入相应的目录并按照该目录下的 README.md 文件中的说明进行操作。

例如，要启动 CommandLineSpoofing 的 PoC，请进入 CommandLineSpoofing 目录并按照 README.md 中的说明执行相关命令。

3. 项目的配置文件介绍

TangledWinExec 项目没有统一的配置文件，每个 PoC 的配置可能会有所不同。通常，配置信息会在各个目录下的 README.md 文件中详细说明。

例如，WmiSpawn 目录下的 README.md 文件可能会包含如何配置远程机器的详细说明。

请根据具体需要，参考相应目录下的 README.md 文件进行配置。

TangledWinExecPoCs and tools for investigation of Windows process execution techniques项目地址:https://gitcode.com/gh_mirrors/ta/TangledWinExec