Skip to content

MyAngelWhiteCat/ProcessesLaboratory

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

369 Commits
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Repository files navigation

Разработка в процессе.

Утилита для анализа активных процессов OS Windows.

Реализованный функционал:

  • Сбор информации о процессах двумя способами - ToolHelp и Nt
  • Поиск скрытых процессов (Базовый)
  • RWX сканнер - поиск RWX регионов памяти процессов, а так же регионов, чьи права были изменены с RX на RW и RW На RX (RX->RW->RX последовательность для инжекта произвольного кода)
  • Сканнер всех включенных привилегий - индекс PID, имя процесса - все включенные привелегии.

Для сборки потребуются:

  • cmake
  • conan2
  • Windows PowerShell
git clone https://github.com/MyAngelWhiteCat/ProcessesLaboratory.git
cd ProcessesLaboratory
mkdir build && cd build
conan install .. --build=missing -s compiler.runtime=static -s build_type=Release --output-folder=.
cmake .. --preset conan-default
cmake --build .

Current task:

  • портировать GUI на C# .NET

Фича - UI

  • Реализован простейший демонстративный UI

Бэклог

  • Добавить вывод об окончании сканирований в GUI
  • Найти и исправить утечку памяти в GUI
  • Убрать костыль с константами для вывода "Full scan complete". Сделать инкремент при входе в скан-функцию и декримент при выходе.
  • domain::SuspiciousProcess - явный антипаттерн, нужно заняться.
  • gui содержит большое количество дублирующегося кодаю, нужно вынести его в отдельные функции.
  • domain превратился в подборку "Топ полезных функций, структур и классов для программирования на С++ с использованием WinAPi смотреть онлайн бесплатно". Нужно структурииировать и разбить на отдельные модули.
  • Разработать формат возврата данных о включенных привилегиях.
  • Разработка эвристик помечания привилегий процесса "Escalated" и оценки серьезности.

TODO:

Фичи - Анализаторы

  • Скачки потребления ресурсов
  • Подозрительные интернет соединения
  • Скрытые процессы
  • Подозрительные пути исполняемых файлов
  • Инжектированный код в памяти
  • Процессы с изменяющимися именами
  • Необычные DLL модули
  • Повышенные привилегии
  • Аномальное время работы
  • Процессы без цифровой подписи
  • ...

About

Windows processes analyzer

Topics

Resources

License

Stars

Watchers

Forks

Releases

No releases published

Packages

No packages published