Understanding Process Injection

Process injection is a technique used by attackers to inject malicious code into the memory space of a running process. Unlike process hollowing, which replaces the entire executable image of a process, process injection allows the attacker to run their payload within an existing process without altering its main execution flow. This technique is widely

Understanding Process Hollowing

Process hollowing is a stealthy technique used in malware development where an attacker starts a legitimate process and then replaces its executable code with malicious code. This allows the attacker to run their payload while maintaining the illusion that a trusted application is running. To understand how this works, we need to look at how

👨🏾‍💻 Jump List

Les Jump Lists sont des menus contextuels dans Windows qui fournissent des raccourcis vers des fichiers, dossiers et applications récemment ou fréquemment utilisés.

wevtutil.exe

wevtutil.exe est un utilitaire en ligne de commande utilisé pour gérer les journaux d’événements Windows.

Plus de details

BatchPatchExeSvc-*.exe

Un service sous le format BatchPatchExeSvc-*.exe est généralement créé par PsExec. Il est normalement supprimé automatiquement par PsExec lors de la terminaison.

Plus de details

👨🏾‍💻 TypedPaths

Sur Windows, la clé de registre TypedPaths enregistre les 25 derniers chemins d’accès insérés dans la barre de navigation de l’explorateur de fichiers.

👨🏾‍💻 Shellbags

Les Shellbags sont des structures de données dans le registre Windows qui permettent d’enregistrer les préférences d’affichage des dossiers.

👨🏾‍💻 Amcache.hve

Amcache.hve, est un fichier de registre interne de Windows stockant des informations sur les programmes récemment exécutés pour faciliter la recherche et l’analyse des applications utilisées sur le système.

👨🏾‍💻 Prefetch

es fichiers Prefetch de Windows stockent des informations sur les applications fréquemment utilisées (DLL chargées, chemins des fichiers accédés, etc..). Ces fichiers permettent d’accélérer le démarrage des applications en préchargeant certaines données.