Утилита для анализа активных процессов OS Windows.
- Сбор информации о процессах двумя способами - ToolHelp и Nt
- Поиск скрытых процессов (Базовый)
- RWX сканнер - поиск RWX регионов памяти процессов, а так же регионов, чьи права были изменены с RX на RW и RW На RX (RX->RW->RX последовательность для инжекта произвольного кода)
- Сканнер всех включенных привилегий - индекс PID, имя процесса - все включенные привелегии.
Для сборки потребуются:
- cmake
- conan2
- Windows PowerShell
git clone https://github.com/MyAngelWhiteCat/ProcessesLaboratory.git
cd ProcessesLaboratory
mkdir build && cd build
conan install .. --build=missing -s compiler.runtime=static -s build_type=Release --output-folder=.
cmake .. --preset conan-default
cmake --build .- портировать GUI на C# .NET
- Реализован простейший демонстративный UI
- Добавить вывод об окончании сканирований в GUI
- Найти и исправить утечку памяти в GUI
- Убрать костыль с константами для вывода "Full scan complete". Сделать инкремент при входе в скан-функцию и декримент при выходе.
- domain::SuspiciousProcess - явный антипаттерн, нужно заняться.
- gui содержит большое количество дублирующегося кодаю, нужно вынести его в отдельные функции.
- domain превратился в подборку "Топ полезных функций, структур и классов для программирования на С++ с использованием WinAPi смотреть онлайн бесплатно". Нужно структурииировать и разбить на отдельные модули.
- Разработать формат возврата данных о включенных привилегиях.
- Разработка эвристик помечания привилегий процесса "Escalated" и оценки серьезности.
- Скачки потребления ресурсов
- Подозрительные интернет соединения
- Скрытые процессы
- Подозрительные пути исполняемых файлов
- Инжектированный код в памяти
- Процессы с изменяющимися именами
- Необычные DLL модули
- Повышенные привилегии
- Аномальное время работы
- Процессы без цифровой подписи
- ...