دانلود و معرفی Fortify Toolsدانلود نسخه PRO و معرفی Crack: HCL AppScan Standardدانلود آخرین نسخه و معرفی ابزار IDA Proاولین سرقت بانکی سایبری تاریخردگیری بزرگترین جنایتکار دارکوبهشدار FBI درباره فعالیت پیشرفته گروه باجافزاری Scattered Spider علیه سازمانهای آمریکاییمرور هفتگی: حملات سایبری به خطوط هوایی، آسیبپذیری روز صفر Citrix و بهروزرسانی امنیتی مایکروسافتسوءاستفاده گروه Blind Eagle از Proton66 برای توزیع بدافزار در کمپینهای فیشینگ هدفمند
در ویندوز، مکانیزمی به نام Protected Process Light (PPL) وجود دارد که برای محافظت از فرآیندهایی مثل آنتیویروسها، Credential Guard و… طراحی شده است. فرآیندهایی با این سطح از حفاظت نمیتوانند بهراحتی توسط سایر برنامهها مورد دستکاری قرار گیرند.
PPLrevenant یک ابزار پیشرفته برای دور زدن مکانیزمهای امنیتی ویندوز است که به مهاجمان یا پژوهشگران امنیتی اجازه میدهد کد دلخواه خود را در یک فرآیند محافظتشده (Protected Process Light – PPL) اجرا کنند. این ابزار میتواند به شکل خاصی در حملات post-exploitation و بایپس کردن آنتیویروس مورد استفاده قرار گیرد.
PPLrevenant از چند تکنیک استفاده میکند:
ایجاد فرآیندهای محافظتشده جعلی با استفاده از دسترسی خاصی به Debug Signing Certificate.
اجرای Shellcode دلخواه در فرآیندهای PPL مانند lsass.exe یا فرآیندهای ساختهشده.
تزریق DLL یا اجرای کد از حافظه برای انجام حملات ماندگار یا استخراج اطلاعات حساس.
کاربرد :
تحلیل رفتار امنیتی ویندوز در برابر کدهای تزریقی
تست قابلیت تشخیص آنتیویروسها
پژوهش در مورد bypass سیستمهای Endpoint Protection
اجرای ابزارهای داخلی با سطح PPL برای بررسیهای forensic
مستندات ویندوز درباره Protected Process Light
گزارشهای تحلیل آنتیویروسها در برابر حملات PPL
دیدگاهتان را بنویسید