الفريق العربي للهندسة العكسية

السلام عليكم
مكتبة PINJECTRA هي مكتبة  مبرمجة بـ ++C  هدف مبرمجيها ان تكون مكتبة تحوي المجموعة الأكثر شمولاً وحداثة من تقنيات الـprocess injection على Windows المكتبة تعمل على Windows 10 x64 وكذلك تحوي تقنية جديدة.

هذا اقتباس من الموقع الرسمي الذي قدمت فية كجزء من مؤتمر blackhat لسنة 2019

إقتباس :عندما يتعلق الأمر بالـprocess injection على نظام Windows، لا يوجد سوى 6 - 7 تقنيات أساسية، أليس كذلك؟ هذا ما اعتقدناه في أواخر عام 2018، عندما بدأنا البحث في هذا المجال. تبين أننا كنا مخطئين. لقد عددنا 20 تقنية (حتى الآن ...)، والتي كان علينا جمعها واستخلاصها وتحليلها من العديد من المواقع والمدونات والأوراق البحثية.  وهذا بدوره طرح السؤال - أين هي المجموعة النهائية للـprocess injection على نظام Windows؟

في هذا العرض التقديمي، نقدم المجموعة الأكثر شمولاً وحداثة من تقنيات "الـprocess injection على Windows" - وهي المرة الأولى التي يتم فيها توفير هكذا مصدر، والذي يغطي حقًا جميع تقنيات الـprocess injection الحقيقية (أو كلها تقريبًا). نحن نركز على نظام التشغيل Windows 10 x64 وعلى الـprocess injection  من  process  64-bit  بمستوى الـ integrity  تبعة  medium  الى process  64-bit   أخر بمستوى integrity  تبعة  medium، دون الحاجة لـprivilege elevation. نولي اهتمامًا خاصًا لتقنيات الحماية الجديدة لـWindows، على سبيل المثال CFG و CIG. نفرق بين بدائل كتابة على الذاكرة وتقنيات التنفيذ، ونناقش استراتيجيات تخصيص الذاكرة. تم تنظيم مجموعتنا وتحليلها ووضع جدول لها، مع PoC بسيط، لقد اختبرنا كل تقنية ضد نظام التشغيل Windows 10 x64 مع حماية  وبدون حماية، وكتبنا عن متطلبات ومحدودية كل تقنية.
كذلك تم تقديم تقنية جديدة تسمى "stack bombing"

^ المصدر
 

تحميل العرض التقديمي
http://i.blackhat.com/USA-19/Thursday/us-19-Kotler-Process-Injection-Techniques-Gotta-Catch-Them-All.pdf
تحميل البحث
http://i.blackhat.com/USA-19/Thursday/us-19-Kotler-Process-Injection-Techniques-Gotta-Catch-Them-All-wp.pdf

السورس كود للمكتبة

https://github.com/SafeBreach-Labs/pinjectra