关于ark取得进程的镜像文件路径

最新推荐文章于 2024-04-26 19:45:32 发布
最新推荐文章于 2024-04-26 19:45:32 发布
阅读量1.2k 收藏
点赞数
分类专栏: 内核研究 文章标签: object file xp 面试 任务
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shevacoming/article/details/7640369
版权

最近看到一个trojan把自己拷到回收站里隐藏,然后发现我两万年前写的ark取得的进程路径还是原路径。。。

突然想起来很久以前看到某群的讨论



 拿破伦19:22:03

话说,一个运行中的文件,然后移动他到其他目录~~

拿破伦19:22:33

有些检测他的路径会变成新的目录

KKindOf 19:23:05

丫的,这是面试题吧

DRL不爱天使 19:23:06

DRL不爱天使 19:23:32

你说的是Win7么

拿破伦 19:23:43

恩啊

DRL不爱天使 19:23:59

XP就不会

拿破伦 19:24:16

我在g盘根目录下运行的

DRL不爱天使 19:24:50

7的文件管理很优越

拿破伦 19:24:53

为啥win7可以了

拿破伦 19:25:06

这个能用来干坏事不

拿破伦 19:25:16

移动一个被占用的文件感觉。。。

DRL不爱天使 19:25:36

不知道 我是好人

DRL不爱天使 19:25:40

拿破伦 19:26:30

是啊,移动不会提示被占用。。。这个没想通

KKindOf 19:27:00

干啥,如果独占的就不能移动了

拿破伦 19:27:28

这个是程序打开,不知道怎么设置独占啊

KKindOf 19:35:10 

你就是说运行了后,然后就移动,这样别人扫描进程列表就扫不出正确的路径? 

拿破伦 19:35:21 

嗯 

宁妖01 19:35:34 

额 

拿破伦 19:35:35 

启动是的路径不对了 

=======================================================================================================

其实xp和win7下都是可以的,已经跑起来的进程,他的可执行文件只要在当前盘符下,随便移动。移动之后任务管理器可能会得不到进程已经变更的可执行文件名。




进程的文件名更改之后 eprocess的UCHAR ImageFileName[16];不会更新。SE_AUDIT_PROCESS_CREATION_INFO SeAuditProcessCreationInfo;也不会主动更新

 

网上比较多的代码是找 eprocess → SectionObject. _SEGMENT_OBJECT →_SEGMENT→_CONTROL_AREA→_FILE_OBJECT

 

然后从 _FILE_OBJECT的filename结合RtlVolumeDeviceToDosName去取路径

 

一般情况下是ok的。但当进程运行起来之后,如果对镜像文件重命名,这时候再从_FILE_OBJECT的filename去取路径就只有原路径了

 

得到更改后路径的方法是得到FILE_OBJECT之后去调ObQueryNameString,(也可以自己实现ObQueryNameString,直接发irp)

 

详见NtQueryInformationProcess的实现


Shevacoming
关注
专栏目录
ark:KDE的文件存档器
02-23
Ark是KDE桌面环境中的一个强大且用户友好的文件存档管理工具,它支持多种文件格式,包括但不限于ZIP、TAR、GZIP、BZIP2、7Z、RAR等。这款应用程序采用C++编程语言开发,是Linux和Unix-like操作系统上进行文件归档和...
详解PID到进程名的转换及伪装
05-15 1824
作者:天杀 很多时候我们都要用到从PID到进程名的转换。先总结一下相关的一些常用函数。GetCurrentProcessIdGetWindowProcessID这是两个最常用的获得PID的函数。再看看如何通过PID获得进程名先用OpenProcess把进程打开,然后一般用下面的一些方法来获得1.用快照函数CreateToolhelp32Snapshot,然后枚举进程,比较        Creat
Docker Image | 修改镜像存储路径
weixin_48711696的博客
01-29 1759
Docker的默认存储路径通常是磁盘上的一个临时目录。在默认情况下,Docker容器的数据存储在/var/lib/docker目录下,但是这个路径可能会在系统磁盘空间不足时变得不可用。因此,为了确保数据的可靠性和可用性,有必要更改Docker的默认存储路径
linux docker位置查找,linux – 如何在Docker中获取依赖子图像列表?(1)
最新发布
2301_77118221的博客
04-26 404
本书是获得了很多读者好评的Linux经典畅销书**《Linux从入门到精通》的第2版**。您应该能够查找父ID以f50f9524513f开头的图像,然后查找这些图像的子图像等.但是.Parent isn’t what you think.,所以在大多数情况下,您需要指定docker图像 – 以上所有才能使其工作,那么你也将获得所有中间层的图像ID.需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论。
Linux如何查找iso镜像文件的位置
热门推荐
weixin_42453837的博客
02-20 2万+
刚开始使用Vmware将iso镜像挂载进入虚拟机,根目录下,使用命令加载: find / -name '*.iso' 一直查找不到镜像iso,存储的位置,不管怎么查找,都查找不到。后来直接使用复制,将iso文件从本地复制到虚拟机上面。 再次使用find / -name '*.iso'就找到了。 ...
ARK Server Manager.zip
01-30
1. **ARK Server Manager.exe.config**:这是程序的配置文件,用于存储应用程序的运行时设置,如服务器地址、端口、登录凭据等。通过编辑此文件,用户可以自定义服务器的各种参数。 2. **EO.Wpf.dll**:这是一个...
ark管理员工具+源码
12-08
`.exe`文件是可执行程序,代表Ark管理员工具的主程序。`.fne`, `.fnr` 文件可能为特定格式的数据文件,如游戏脚本或配置文件。`.png`文件则可能用于工具的界面设计或图标,如服务器状态的可视化展示。 总的来说,这...
ARK bigideas-2021 中文版.pdf
03-06
### ARK Big Ideas 2021:颠覆性科技与投资机遇 #### 深度学习:比互联网更巨大的变革力量 随着计算能力的不断提升、数据量的爆炸性增长及算法的进步,深度学习正在以前所未有的速度改变着各行各业。在ARK的研究...
ark
03-29
4. 文件或目录:需要归档、提取或操作的文件或目录路径。 例如,创建一个名为 `backup.tar.gz` 的归档文件,包含当前目录下的所有文件和子目录,命令如下: ``` ark -c backup.tar.gz . ``` 三、 Ark 的高级用法 1...
重装系统镜像路径下载
03-29
镜像网----镜像路径-----下载
WIN下 修改,伪装进程路径。支持XP,WIN7 WIN764
08-25
代码完全远程。 可以在XP WIN7 WIN764 WIN2003 等操作系统上成功实现修改进程路径。 已经封装成类,使用及其方便。 部分代码: 头文件: #ifndef ModifyProcessPath_h__ #define ModifyProcessPath_h__ // 结构定义 typedef struct _PROCESS_BASIC_INFORMATION { DWORD ExitStatus; ULONG PebBaseAddress; ULONG AffinityMask; LONG BasePriority; ULONG UniqueProcessId; ULONG InheritedFromUniqueProcessId; } PROCESS_BASIC_INFORMATION, *PPROCESS_BASIC_INFORMATION; // API声明 typedef LONG (__stdcall *PZWQUERYINFORMATIONPROCESS) ( HANDLE ProcessHandle, ULONG ProcessInformationClass, PVOID ProcessInformation, ULONG ProcessInformationLength, PULONG ReturnLength ); class CModifyProcessPath { public: CModifyProcessPath(); BOOL Create(); BOOL ModifyProcessPath(LPCTSTR szPath); BOOL CamouflageExplorerPath(); }; #endif // ModifyProcessPath_h__ CPP部分代码: #include "StdAfx.h" #include "ModifyProcessPath.h" namespace MODIFY_PROCESS { wchar_t m_szModulePath[MAX_PATH]; DWORD dwGetModuleFileNameWAddress; DWORD dwModuleBaseAddress; //E9 (目标地址-当前地址 - 5) #pragma pack(1) typedef struct _JMPCODE { BYTE bJmp; DWORD dwAddr; }JMPCODE,*LPJMPCODE; #pragma pack() DWORD WINAPI MGetModuleFileNameW(HMODULE hModule,wchar_t * lpFilename,DWORD nSize); }; using namespace MODIFY_PROCESS; // 为了不影响在进程内使用 GetModuleFileNameW ,故hook之,返回正确的路径。 DWORD WINAPI MODIFY_PROCESS::MGetModuleFileNameW(HMODULE hModule,wchar_t * lpFilename,DWORD nSize) { typedef DWORD(WINAPI *MGetModuleFileNameWT)(HMODULE,LPWCH,DWORD); MGetModuleFileNameWT pMGetModuleFileNameW; pMGetModuleFileNameW = (MGetModuleFileNameWT)dwGetModuleFileNameWAddress; if(hModule == NULL || hModule ==(HMODULE)MODIFY_PROCESS::dwModuleBaseAddress) { StringCbCopyW(lpFilename,nSize,m_szModulePath); return wcslen(m_szModulePath); } return pMGetModuleFileNameW(hModule,lpFilename,nSize); } CModifyProcessPath::CModifyProcessPath() { } BOOL CModifyProcessPath::Create() { ZeroMemory(MODIFY_PROCESS::m_szModulePath,sizeof(MODIFY_PROCESS::m_szModulePath)); MODIFY_PROCESS::dwGet
Windows11 Docker镜像存储路径更改(非C盘路径
沧海之巅的专栏
12-12 2087
基于WSL2安装docker后,在使用过程中会发现大量的docker镜像文件,使系统C盘容量激增,对电脑后续使用造成不便,所以需要在安装的时候,手动修改docker的镜像地址,使得镜像文件保存到另外的非系统盘中。最新的windows提供了新的虚拟化技术(WSL/WSL2),所以设置页面不能镜像的存储位置进行修改了。
linux pe do fork,[求助]PEPROCESS定义在哪个头文件
weixin_39898854的博客
05-16 373
2016-8-22 22:02typedef struct _EPROCESS{KPROCESS Pcb;//// Lock used to protect:// The list of threads in the process.// Process token.// Win32 process field.// Process and thread affinity setting.//EX...
修改活动进程链隐藏进程
Puzzle的专栏
06-25 1668
如何修改活动进程链来隐藏进程?通过PsGetCurrentProcess函数可以获取当前线程的EPROCESS,反汇编这个函数的话可以看到这个内核函数只有三行: mov eax, fs:0x00000124; mov eax, [eax + 0x44]; ret Windows中有一个叫Kernel's Processor Control Block (KPRCB),核心处理控制块的结
Win10下的_EPROCESS结构记录
WorryFree
11-30 2311
kd> dt _EPROCESS ntdll!_EPROCESS +0x000 Pcb : _KPROCESS 内嵌的内核层进程结构体 +0x2e0 ProcessLock : _EX_PUSH_LOCK 自旋锁 用于保护EPROCESS数据成员的同步 +0x2e8 UniqueProcessId : Ptr64 Void 进程的唯一PID +0x2f0 ActiveProcessLinks :
进程结构体
qq_41490873的博客
05-28 868
kd> dt _EPROCESS +0x000 Pcb : _KPROCESS +0x06c ProcessLock : _EX_PUSH_LOCK +0x070 CreateTime : _LARGE_INTEGER +0x078 ExitTime : _LARGE_INTEGER +0x080 RundownProtect ...
EPROCESS 进程/线程优先级 句柄表 GDT LDT 页表 《寒江独钓》内核学习笔记(2)
weixin_34323858的博客
12-02 754
在学习笔记(1)中,我们学习了IRP的数据结构的相关知识,接下来我们继续来学习内核中很重要的另一批数据结构: EPROCESS/KPROCESS/PEB。把它们放到一起是因为这三个数据结构及其外延和windows中进程的表示关系密切,我们在做进程隐藏和进程枚举的时候一定会涉及到这3类数据结构,所以这里有必要及时做一下总结,做个学习笔记,理清思路。   1. 相关阅读材料 《windows 内...
ARK3399芯片技术规格与应用解析
"ark3399芯片是 Ark Micro Technologies Inc. 生产的一款微处理器,主要应用于倒车影像系统和智能小车的研发。该芯片的规格文档版本为V1.0,发布时间为2010年11月。 ark3399芯片支持USB2.0 PC Camera Controller功能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值