PickGithubPickGithub
redteamfortress

PPLShade

redteamfortress

BYOVD tool for manipulating Windows Protected Process Light (PPL) protection at the kernel level.

AI 简介

PPLShade 是一个用于在内核级别操作 Windows 受保护进程轻量级(PPL)保护的自带漏洞驱动工具。其核心功能包括自动检测加载的驱动程序、动态解析 EPROCESS 偏移量以及通过物理内存映射读写内核内存,支持列出所有受保护进程及其详细信息、查询或修改进程的保护级别和签名类型、移除保护及终止受保护进程等。该工具采用 C 语言编写,编译为静态 CRT 单文件可执行程序,无需额外依赖。PPLShade 适用于安全研究人员和渗透测试者评估和绕过端点检测与响应(EDR)系统中的 PPL 机制,在 Windows 10/11 x64 环境下经过测试验证。

C
byovdedredr-bypassedr-evasionkernel-driver
在 GitHub 查看 官方网站
71
Stars
23
Forks
48
Watchers
0
Issues

Star 增长

今日+4
近 7 天+13
近 30 天+23
综合评分57.94
默认分支main