Skip to content

tirManWalk/RunPE

BranchesTags
 
 

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

12 Commits
RunPE
RunPE
 
 
.gitattributes
.gitattributes
 
 
.gitignore
.gitignore
 
 
LICENSE
LICENSE
 
 
README.md
README.md
 
 
RunPE.pptx
RunPE.pptx
 
 
RunPE.sln
RunPE.sln
 
 
screen1.png
screen1.png
 
 

Repository files navigation

RunPE

Technique de Process Hollwing, injecte un exécutable 32 bits dans un autre.

Lance nslookup dans svchost

RunPE.exe C:\Windows\SysWOW64\svchost.exe C:\Windows\SysWOW64\nslookup.exe

Screenshot

L'image de l'exécutable nslookup est placée à l'ancienne adresse de l'image de svchost (0x3f0000) Lors d'une exécution normale l'image est mappée avec la protection WCX, on remarque la region suspecte à cause de la protection RWX.

About

Process Hollowing

Resources

Readme

License

GPL-3.0 license
Activity

Stars

0 stars

Watchers

2 watching

Forks

0 forks
Report repository

Releases

No releases published

Packages

No packages published

Languages

  • C++ 84.7%
  • C 15.3%