进程欺骗实践

最新推荐文章于 2024-02-08 20:36:39 发布
最新推荐文章于 2024-02-08 20:36:39 发布
阅读量597 收藏 1
点赞数 1
分类专栏: # 信安文章
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/111756114
版权

项目介绍

监控父进程和子进程之间的关系是威胁检测团队检测恶意活动的常用技术,例如,如果powershell是子进程,而Microsoft Word是父进程,这是一种折中的行为,各种EDR可以很容易地检测到这种异常活动,这时红队可以考虑使用父进程PID欺骗作为逃避方法,Windows API调用"CreateProcess"允许用户传入一个用于分配父PID的参数,它可以用于指定当前进程的父进程。

项目地址

https://github.com/Al1ex/SelectMyParent

实践测试

Step 1:选择父进程并确定其PID

Step 2:之后执行以下命令进行父进程欺骗

SelectMyParent.exe notepad 928

Step 3:使用process Explor查看进程树,可以看到成功欺骗

Reference

https://pentestlab.blog/2020/02/24/parent-pid-spoofing/

https://ired.team/offensive-security/defense-evasion/parent-process-id-ppid-spoofing

 

 

 

FLy_鹏程万里
关注
专栏目录
15.进程优化设计实践
杨充
06-17 255
进程优化设计实践
[网络安全自学篇] 四十九.Procmon软件基本用法及文件进程、注册表查看
杨秀璋的专栏
02-26 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了Cracer教程的第一篇文章,详细讲解了安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。本文将分享Procmon软件基本用法及文件进程、注册表查看,这是一款微软推荐的系统监视工具,功能非常强大可用来检测恶意软件。基础性文章,希望对您有所帮助。
php-process
03-29
关于低版本PHP资源离线安装包,如果安装不成功,需要全部强制安装 php-5.3.3-50.el6_10.x86_64.rpm php-cli-5.3.3-50.el6_10.x86_64.rpm php-common-5.3.3-50.el6_10.x86_64.rpm php-gd-5.3.3-50.el6_10.x86_64.rpm php-ldap-5.3.3-50.el6_10.x86_64.rpm php-mysql-5.3.3-50.el6_10.x86_64.rpm php-pdo-5.3.3-50.el6_10.x86_64.rpm php-process-5.3.3-50.el6_10.x86_64.rpm php-soap-5.3.3-50.el6_10.x86_64.rpm php-xml-5.3.3-50.el6_10.x86_64.rpm 全部安装完成后如果页面登录不了,需要修改session目录的权限
workermanDay01 安装、Worker类
坚持硬核
09-09 291
workerman 开源异步PHP socket 即时通讯框架 0x00 Workman安装 安装 libevent(php<7) 或者 Event 扩展(php >=7) step1 不论php版本,都要安装 libevent 库: yum install libevent-devel -y step2 安装 Event扩展 pecl.php.net wget https://pecl.php.net/get/event-2.4.3.tgz 解压: tar xf event-
VBS命令-进程操作代码(检测进程, 结束进程)
热门推荐
我是guyue,guyue就是我O(∩_∩)O
06-27 1万+
//检测进程 进程名 = "qq.exe" 返回值 = IsProcess(进程名) If 返回值 = True Then     MessageBox "发现进程" ElseIf 返回值 = False Then     MessageBox "没有发现进程" End If //检测进程 优化后的代码 If IsProcess("qq
关闭VBS进程
12-19
一个关闭正在运行的VBS文件的脚本,很实用,可以用来对付一些VBS病毒!
php-process,GitHub - soliphp/process: Simple multi-process manager for PHP, based on pcntl and posix...
weixin_29973493的博客
03-25 187
Soli Process基于 pcntl 和 posix 扩展,简单的 PHP 多进程管理类库。依赖Unix-likePHP 5.0+ext-pcntlext-posix注:信号处理部分需要 PHP 7.1+安装使用 composer 进行安装:composer require soliphp/process快速使用use Soli\Process;include __DIR__ . "/vend...
易语言-易语言驱动级进程信息伪装源码 只支持 64位系统
06-25
驱动级进程信息伪装技术是一种高级的系统编程技术,它允许程序模拟或改变其他进程的信息,如进程ID、进程名称等,从而达到隐藏自身或欺骗系统的目的。在网络安全领域,这种技术有时被用于恶意软件以逃避检测,但在...
易语言ARP欺骗攻击源码-易语言
06-13
易语言ARP欺骗攻击源码利用了易语言的编程特性,为学习网络安全和逆向工程的用户提供了一个实践平台。 在压缩包中,有两个主要文件: 1. ARP欺骗攻击.e:这是易语言编写的一个程序文件,包含了实现ARP欺骗攻击的...
【愚公系列】2024年02月 《网络安全应急管理与技术实践》 009-网络安全应急技术与实践(网络层-攻击分析)
最新发布
时光隧道
02-08 7万+
网络层攻击是指针对网络层协议(如IP协议)的攻击。这些攻击旨在破坏网络通信、拒绝服务、窃取数据等。以下是网络层攻击的一些常见类型:IP地址欺骗:攻击者使用虚假的IP地址,伪装成其他合法主机或者隐藏自己的真实IP地址,以进行攻击、欺骗或匿名操作。IP分片攻击:攻击者通过发送大量的IP分片数据包,使目标主机的网络资源被消耗或者造成服务拒绝。IP源路由欺骗:攻击者在IP数据包中伪造源地址和路由信息,使目标主机误认为数据包来自合法的源地址,可能导致信息泄露或者伪造数据包攻击。
分享一个结束VBS进程的脚本
11-22
网上下载的那些无限弹出的代码,对于小白来说,不知道怎么处理;大神会打开任务管理器去结束进程,现在有了这个,可以一键关闭正在使用中的VBS脚本进程,方便快捷,一键搞定
伪装线程进程
08-08
可以伪装现成进程
php 高级应用之php进程管理器PPM(php-process-manager)
高性能php socket框架 - workerman
11-24 5378
我们知道php-fpm是一个php的fast-cgi管理器,它是用c写的,但是它只能提供fastcgi协议,一般客户端使用的是http协议,所有我们使用php-fpm的时候得在它的前面加个类似代理的东东,例如nginx。一般的情况是nginx接收http请求,把收到的http协议的数据转换成fastcgi协议的数据再转发给php的php-fpm进程,php-fpm进程会执行业务逻辑代码,然后执行相
android fork 子进程,fork子进程
weixin_35745604的博客
05-29 1453
title: fork子进程data: 2019/3/21 20:24:39toc: true这里实在学习socket编程前的小知识点,用来创建多个服务端学习文档速记fork并不保证进程的执行顺序,会存在进程先比子进程结束,这个时候子进程的就可能由系统进程1( PID为 1 的 init)接管子进程返回 0进程返回子进程进程号 (PID)粗浅的理解就是fork之后创建了一个一模一样的上下...
tensorflow gpu_多GPU,具有Tensorflow的多进程
weixin_39639568的博客
11-25 512
作者 |GrégoireDelétang来源|Medium编辑|代码医生团队Tensorflow是实验深度学习算法的绝佳工具。但是要利用深度学习的力量,需要利用计算能力和良好的工程技术。最终需要使用多个GPU,甚至可能需要多个流程才能实现目标。建议先阅读TensorFlow关于GPU 的官方教程。https://www.tensorflow.org/guide/using_gp...
python3.8 进程池 多进程的实现 加速程序运行
USADA
08-28 4496
进程池 我们使用multiprocessing库下的Pool开启多进程 multiprocessing是python3内置的,不需要下载安装,直接导入即可 我们写个简单的实例,来展示到底为什么要使用多进程,以及多进程有哪些作用 让我们使用进程的第一种情况观察 阻塞 from time import sleep from multiprocessing import Pool import os # 引入os库的作用是为了获取子进程的ID,让我们更直观查看进程的进度 def pid():
进程伪装实现将进程伪装成任意程序
yeanhoo的博客
09-24 6550
进程伪装 修改指定进程环境块中的进程路径以及命令行信息,从而达到进程 伪装的效果。 获取进程的句柄 内联汇编获取peb 修改命令行和imagepath #include<windows.h> #include<winternl.h> BOOL DisguiseProcess(wchar_t *lpwszPath, wchar_t *lpwszCmd); int main() { wchar_t *lpwszPath = L"c:\\windows\\system32\\c
<基础> PHP 进阶之 流程控制(Process)
weixin_34405354的博客
05-04 105
do-while $sum = 0; $i = 10; do{ $sum += $i; $i--; }while($i > 0); //当这里的值为 false 时跳出循环 echo $sum; //这种写法也上面的结果一致$sum = 0; $i = 10; do{ if($i == 0){ break...
windows传真和扫描由于不能访问您的文档_Windows 常见的进程列表
weixin_39636645的博客
12-08 3118
最基本的系统进程(也就是说,这些进程是系统运行的基本条件,有了这些进程,系统就能正常运行。smss.exe Session Managercsrss.exe 子系统服务器进程winlogon.exe 管理用户登录services.exe 包含很多系统服务lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务)产生会话密钥以及授予...
基于VMM的隐藏恶意进程检测技术
随着恶意进程采用隐蔽技术来躲避宿主系统的检测机制,如欺骗和篡改检测设施,作者陈生栋和章洋(北京邮电大学网络与交换技术国家重点实验室)提出了一个基于虚拟机监控器(Virtual Machine Monitor, VMM)的隐藏进程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值