Wing FTP Server در معرض تهدید RCE: نقص Lua و Null Byte در نسخههای قدیمی چگونه خطرناکند؟ظهور مجدد Pay2Key.I2P: باجافزاری ایرانی با انگیزههای ایدئولوژیک و سود بالاخلاصه خبری هفته: نقص بحرانی SharePoint، بدافزار macOS، باگ NVIDIA و تهدیدات مرورگرهک GitHub تپتال: انتشار ۱۰ بسته npm مخرب با دانلود بیش از ۵٬۰۰۰ بارچرا React مانع XSS نشد: کتابچه جدید حملات تزریق جاوااسکریپتچگونه مرورگرها به اصلیترین سطح حمله سایبری در سال ۲۰۲۵ تبدیل شدند؟ظهور Chaos RaaS پس از نابودی BlackSuit: باجافزاری جدید با شیوههای پیچیده حملههشدار رسمی PyPI: حملات فیشینگ هدفمند علیه توسعهدهندگان پایتون در جریان است
در ویندوز، مکانیزمی به نام Protected Process Light (PPL) وجود دارد که برای محافظت از فرآیندهایی مثل آنتیویروسها، Credential Guard و… طراحی شده است. فرآیندهایی با این سطح از حفاظت نمیتوانند بهراحتی توسط سایر برنامهها مورد دستکاری قرار گیرند.
PPLrevenant یک ابزار پیشرفته برای دور زدن مکانیزمهای امنیتی ویندوز است که به مهاجمان یا پژوهشگران امنیتی اجازه میدهد کد دلخواه خود را در یک فرآیند محافظتشده (Protected Process Light – PPL) اجرا کنند. این ابزار میتواند به شکل خاصی در حملات post-exploitation و بایپس کردن آنتیویروس مورد استفاده قرار گیرد.
PPLrevenant از چند تکنیک استفاده میکند:
ایجاد فرآیندهای محافظتشده جعلی با استفاده از دسترسی خاصی به Debug Signing Certificate.
اجرای Shellcode دلخواه در فرآیندهای PPL مانند lsass.exe یا فرآیندهای ساختهشده.
تزریق DLL یا اجرای کد از حافظه برای انجام حملات ماندگار یا استخراج اطلاعات حساس.
کاربرد :
تحلیل رفتار امنیتی ویندوز در برابر کدهای تزریقی
تست قابلیت تشخیص آنتیویروسها
پژوهش در مورد bypass سیستمهای Endpoint Protection
اجرای ابزارهای داخلی با سطح PPL برای بررسیهای forensic
مستندات ویندوز درباره Protected Process Light
گزارشهای تحلیل آنتیویروسها در برابر حملات PPL
دیدگاهتان را بنویسید