Skip to content

MyAngelWhiteCat/ProcessesLaboratory

BranchesTags

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

427 Commits
ProcessesLaboratoryGUI
ProcessesLaboratoryGUI
 
 
UsageCaseExample
UsageCaseExample
 
 
src
src
 
 
.gitignore
.gitignore
 
 
CMakeLists.txt
CMakeLists.txt
 
 
LICENSE
LICENSE
 
 
README.md
README.md
 
 
conanfile.txt
conanfile.txt
 
 

Repository files navigation

Утилита для анализа процессов OS Windows.

Реализованный функционал:

  • Сбор информации о процессах двумя способами - ToolHelp и Nt
  • Поиск скрытых процессов (Базовый)
  • RWX сканнер - поиск RWX регионов памяти процессов, а так же регионов, чьи права были изменены с RX на RW и RW На RX (RX->RW->RX последовательность для инжекта произвольного кода)
  • Сканнер всех включенных привилегий - индекс PID, имя процесса - все включенные привелегии.

Usage Case:

При открытии утилиты вас встретит главное меню с кратким описанием функций и номером текущей версии

main_menu

Для работы нужно выбрать соответствующий сканер, после чего откроется новое меню, готовое к выводу информации. В его нижней части находятся 2 кнопки - scan и clear. Их смысл соответствует названиям.

picked_menu

Протестируем сканирование активных привилегий. Для теста будем использовать безопасный инструмент MalwareVaccine. Повысим привилегии процесса по Debug. Об успехе операции нам сообщает соответсвующий MessageBox.

escalated_privileges

Теперь запустим сканирование, выбрав сканер Active Privileges и нажав кнопку Scan. В выводе наблюдаем наш тестовый процесс MalwareVaccine, так же видим его PID, активную привилегию и отметку - подозрительный процесс (suspicious).

found

Таким образом можно ознакомиться с интерфейсом утилиты.

Для сборки потребуются:

  • cmake
  • conan2
  • Windows PowerShell
git clone https://github.com/MyAngelWhiteCat/ProcessesLaboratory.git
cd ProcessesLaboratory
mkdir build && cd build
conan install .. --build=missing -s compiler.runtime=static -s build_type=Release --output-folder=.
cmake .. --preset conan-default
cmake --build .

Current task:

  • Снапшоты списка програм в автозагрузке.

UI

  • Реализован UI на чистом WinApi в файлах gui.h gui.cpp
  • Реализован С# .Net GUI для современного интерфейса

Бэклог

  • domain::SuspiciousProcess - явный антипаттерн, нужно заняться.
  • domain превратился в подборку "Топ полезных функций, структур и классов для программирования на С++ с использованием WinAPi смотреть онлайн бесплатно". Нужно структурииировать и разбить на отдельные модули.
  • Разработать формат возврата данных о включенных привилегиях.
  • Разработка эвристик помечания привилегий процесса "Escalated" и оценки серьезности.

TODO:

Анализаторы процессов

  • потребление ресурсов
  • интернет соединения
  • Процессы без цифровой подписи
  • процессы запущенные из автозагрузки
  • ...

Анализаторы файловов

  • проверка фейковых расширений (.txt.bat | .doc.exe)

About

Windows processes analyzer

Topics

malware-detection edr

Resources

Readme

License

MIT license
Activity

Stars

0 stars

Watchers

0 watching

Forks

0 forks
Report repository

Releases

No releases published

Packages

 
 
 

Contributors

Languages