https://github.com/AxtMueller/Windows-Kernel-Explorer
А еще ETW и WMI, нарпимер Threat-Intelligence провайдер мониторит самые важные сервисы и по-сути позволяет детектить любой классический инжект. Да...
Попробуйте EWDK https://docs.microsoft.com/en-us/windows-hardware/drivers/develop/using-the-enterprise-wdk
Да, уже изобрели подобное: https://lospi.net/security/assembly/c/cpp/developing/software/2017/03/04/gargoyle-memory-analysis-evasion.html Правда...
https://docs.microsoft.com/en-us/windows/win32/api/memoryapi/nf-memoryapi-flushviewoffile
#pragma comment(linker, "/INCLUDE:ApiPtr") EXTERN_C CONST PVOID ApiPtr = (PVOID)MessageBoxW;
Перехватывать NtCreateUserProcess и запускать мотор для нового процесса. Прямые системные вызовы не проблема, т.к перед выполнением инструкции...
https://habr.com/ru/company/intel/blog/261665/
А ведь хватило бы dbi (визора) или эмулятора. Какие-то танцы с бубном проделали, пол ядра пропатчили, чтобы стабильно похукать юзермод. Ну скрыли...
Для low integrity: https://gist.github.com/tyranid/ea89038089f8c5f7c614bdcee07c78cb https://github.com/diversenok/Things-AppContainer-Knows Все...
Это же тот плагин, что в контексте выиграл. Выглядит неплохо, но хотелось бы видеть что-то на основе современных тулз, например Qiling или QBDI.
У отладчика есть гуй, а у DBI нет.. Хотя вроде к иде обещали вот эту штуку прикрутить https://github.com/qilingframework/qiling. Подозреваю DBI...
У Blizzard и Riot упаковщики для игр работают похожим образом. Релокация образа, NA/SEC_NO_CHANGE секции и распаковка по требованию.
Вот наглядный пример, как это может быть реализовано, таймкод 22:30: [MEDIA] А вот сервис для автоматической распаковки малвари...
Не совсем понимаю такой подход. Какой смысл генерить псевдо-легитимный экзешник, когда можно просто прилепить шеллкод к реальной легитимной...
Можно попробовать перечислять хэндлы для каждого процесса по-очереди. Логика примерно такая: 1. NtQuerySystemInformation(SystemProcessInformation)...
TLS callback же. https://stackoverflow.com/questions/14538159/about-tls-callback-in-windows
Снять дамп, записать лог и завершить выполнение программы, других вариантов нет. Утечки ловить на стадии тестирования.
Кажется оно https://docs.microsoft.com/en-us/windows/win32/api/wintrust/nf-wintrust-winverifytrust . Каким-то образом файл верифицируется и далее...
Вроде как есть специальное хранилище сертификатов. Точную логику не знаю, но можно подсмотреть в исходниках Process Hacker'a.
Имена участников (разделяйте запятой).