C++ 修改指定进程 PEB 中路径和命令行信息实现进程伪装

最新推荐文章于 2022-04-21 11:30:25 发布
最新推荐文章于 2022-04-21 11:30:25 发布
阅读量2.4k 收藏 10
点赞数
分类专栏: C++功能函数
原文链接:https://www.write-bug.com/article/2057.html
版权

背景

所谓的进程伪装,指的修改任意一个指定进程的信息,是它的信息在系统中的显示是另一个进程的信息,这样看来,指定的进程就像是被伪装的进程一样,因为进程信息相同,但实际上,它还是原来的进程,做着原来的进程操作。

函数介绍

NtQueryInformationProcess

    NTSTATUS WINAPI NtQueryInformationProcess(
        _In_      HANDLE           ProcessHandle,				// 要获取信息的进程的句柄。
        _In_      PROCESSINFOCLASS ProcessInformationClass,		// 要获取的进程信息的类型
        _Out_     PVOID            ProcessInformation,			// 指向由调用应用程序提供的缓冲区的指针
        _In_      ULONG            ProcessInformationLength,	// 指向的缓冲区的大小
        _Out_opt_ PULONG           ReturnLength					// 返回所请求信息的大小
    );

实现原理

进程伪装的原理不是很复杂,就是修改指定进程的进程环境块 PEB 中的进程路径以及命令行信息,即可达到进程伪装的效果。

具体实现原理分析如下:

  • 首先,我们根据进程的 PID 号打开指定进程,并获取进程的句柄。
  • 然后,我们要从 ntdll.dll 中获取 NtQueryInformationProcess 函数的导出地址,因为 NtQueryInformationProcess 函数没有关联导入库,所以只能动态获取,这个函数是这个程序功能实现的关键步骤。
  • 接着,使用 NtQueryInformationProcess 函数获取指定进程的进程基本信息 PROCESS_BASIC_INFORMATION,并从中获取指定进程的进程环境块 PEB。
  • 然后,我们就可以根据进程环境块中的 ProcessParameters,获取指定进程的 RTL_USER_PROCESS_PARAMETERS 信息,因为PEB的路径信息、命令行信息存储在这个结构体中。
  • 最后,我们开始对指定进程 PEB 中路径信息、命令行信息进行更改,实现进程伪装

编码实现

    // 修改指定进程的进程环境块PEB中的路径和命令行信息, 实现进程伪装
    BOOL DisguiseProcess(DWORD dwProcessId, wchar_t *lpwszPath, wchar_t *lpwszCmd)
    {
        // 打开进程获取句柄
        HANDLE hProcess = ::OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProcessId);
        if (NULL == hProcess)
        {
            ShowError("OpenProcess");
            return FALSE;
        }
        typedef_NtQueryInformationProcess NtQueryInformationProcess = NULL;
        PROCESS_BASIC_INFORMATION pbi = { 0 };
        PEB peb = { 0 };
        RTL_USER_PROCESS_PARAMETERS Param = { 0 };
        USHORT usCmdLen = 0;
        USHORT usPathLen = 0;
        // 需要通过 LoadLibrary、GetProcessAddress 从 ntdll.dll 中获取地址
        NtQueryInformationProcess = (typedef_NtQueryInformationProcess)::GetProcAddress(
            ::LoadLibrary("ntdll.dll"), "NtQueryInformationProcess");
        if (NULL == NtQueryInformationProcess)
        {
            ShowError("GetProcAddress");
            return FALSE;
        }
        // 获取指定进程的基本信息
        NTSTATUS status = NtQueryInformationProcess(hProcess, ProcessBasicInformation, &pbi, sizeof(pbi), NULL);
        if (!NT_SUCCESS(status))
        {
            ShowError("NtQueryInformationProcess");
            return FALSE;
        }
        /*
              注意在读写其他进程的时候,注意要使用ReadProcessMemory/WriteProcessMemory进行操作,
            每个指针指向的内容都需要获取,因为指针只能指向本进程的地址空间,必须要读取到本进程空间。
            要不然一直提示位置访问错误!
        */
        // 获取指定进程进本信息结构中的PebBaseAddress
        ::ReadProcessMemory(hProcess, pbi.PebBaseAddress, &peb, sizeof(peb), NULL);
        // 获取指定进程环境块结构中的ProcessParameters, 注意指针指向的是指定进程空间中
        ::ReadProcessMemory(hProcess, peb.ProcessParameters, &Param, sizeof(Param), NULL);
        // 修改指定进程环境块PEB中命令行信息, 注意指针指向的是指定进程空间中
        usCmdLen = 2 + 2 * ::wcslen(lpwszCmd);
        ::WriteProcessMemory(hProcess, Param.CommandLine.Buffer, lpwszCmd, usCmdLen, NULL);
        ::WriteProcessMemory(hProcess, &Param.CommandLine.Length, &usCmdLen, sizeof(usCmdLen), NULL);
        // 修改指定进程环境块PEB中路径信息, 注意指针指向的是指定进程空间中
        usPathLen = 2 + 2 * ::wcslen(lpwszPath);
        ::WriteProcessMemory(hProcess, Param.ImagePathName.Buffer, lpwszPath, usPathLen, NULL);
        ::WriteProcessMemory(hProcess, &Param.ImagePathName.Length, &usPathLen, sizeof(usPathLen), NULL);
        return TRUE;
    }

程序测试

我们运行一个测试程序 Demon Memory.exe,先使用 Process Explorer 查看它的进程信息:在这里插入图片描述

现在,我们运行我们的进程伪装程序,修改上述的测试程序 Demon Memory.exe 进程的PEB进程环境块信息,实现进程伪装。程序执行提示成功,我们再运行 Process Explorer 程序查看进程信息,发现测试程序 Demon Memory.exe 进程信息成功伪装了 explorer.exe 资源管理器进程。
在这里插入图片描述

(-: LYSM :-)
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
PEBFake:PEBFake(修改PEB 伪装当前进程路径、参数等)
05-27
Fake process imagepath and name BTW 当然你可以去修改其他进程PEB信息,参考: 测试效果
OpenProcess()函数
热门推荐
夜空中最亮的星
10-06 5万+
通过一个进程关闭另外一个进程的时候,一般的做法就是枚举系统打开的所用进程的标识符(PID),使用OpenProcess函数获得进程的句柄,该函数可以通过第一个参数来设置句柄的新的访问权限(不清楚句柄是不是和原来的一模一样?有待证明和学习),比如如果打开的句柄不具备终止句柄的权限,直线终止进程操作会失败,返回的错误代码为5(意思为拒绝访问)。通过获得的句柄就可以获得进程名字(通过GetModuleB
实战|使用Windows API绕过进程保护
li49665的博客
11-17 1995
首发于奇安信攻防社区 文章地址:https://forum.butian.net/share/817 前言 最近在研究某数字杀软的时候看到有个配置选项: img 这个自我保护实际上是加载360SelfProtection.sys驱动(看这名字应该还有360SelfProtection_win10.sys文件),丰告网在0环通过hook等手段保护注册表项,重要进程进程等。 img 比如这里要结束某核心进程,会显示无法结束,拒绝访问。 img img 这个并不是说权限不够
OpenProcess讲解
xbgprogrammer的专栏
10-23 7131
HANDLE hProcess=OpenProcess(PROCESS_TERMINATE|SYNCHRONIZE,FALSE,proid); if (hProcess==NULL) { cout<<"OpenProcess failed with "<<GetLastError()<<endl; return 0; } else { TCHAR buffer[MAX_PAT
OpenProcess_openprocess
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
08-04 567
参数,就是公式运算需要的数据,比如=sum(a,b),这里sum是求和,就是两个以上的数的总数,a,b都是参数,它们是求和的数,它们的和就是函数的结果.。 LZ是哪里看到这些的?[:15:]createprocess:就是创建一个新进程openprocess:打开一个进程,获得该进程的句柄,通过这个句柄可以对目标进程进行...
Win2K下关联进程/端口之代码初步分析
09-13 1068
作者:[email protected]    在西祠或者绿的BBS,经常见到网友问:如何才能关联我的进程和端口呀?没错,关联进程和端口是一个非常有用的功能,你可以清楚地知道哪些程序在使用哪些端口,对于查杀木马很有帮助。可是我们虽然可以使用任务管理器浏览进程列表,使用Netstat查看端口的使用状况,却没有一个命令可以直接关联进程和端口(WinXP上增加了新的NetStat功能,支持直接查看
OpenProcess函数打开进程权限不够??
KOOKNUT的博客
05-08 4238
我们会遇到OpenProcess函数失败的情况,通过GetLastError函数发现其错误代码为5,VS查看之后发现拒绝访问: 这是因为用OpenProcess打开一些普通进程是可以的,但是要打开的是系统安全进程(如System、Winlogon、smss、csrss、services、lsass等)或是一些注册为服务的进程时,就会遇到拒绝访问的情况。此时我们该如何解决这个问题呢? 解决这个问题只需要当前进程具有SeDebugPrivilege权限就可以了。打开权限相关的函数有: OpenProcess
openprocess打开进程失败_Windows不太常见的进程注入学习小记(一)
weixin_39984578的博客
12-03 1122
注:本篇文章经作者授权转载进程注入以下是自学习相关进程注入时写的笔记。HOOK Conhost.exe保存的ConsoleWindowClass窗口类的虚表控制台应用程序窗口所属于的窗口类为ConsoleWindowClass,窗口保存的用户数据并不在控制台程序的地址空间之,而在Conhost.exe之。用户数据的第一个8字节或4字节保存的是该类的虚表地址。以修改ConHost...
Windows编程-获取其他进程命令行信息
NINE_world的博客
10-04 1101
#include <iostream> #include <windows.h> #include <tchar.h> #include <winternl.h> //如何获得其他进程命令行信息? /* * 每一个进程里面都对应一个环境变量快PEB * 如果想要获得其他进程命令行信息,首先就要获得其他进程PEB结构体 * * 如何获得其他进程PEB结构体信息? * NtQueryinformationProcess 函数 * 第一个参数是进
红队技术-父进程伪装(MITRE ATT&CK框架:T1134)
合天网安学院
04-21 3376
父PID(PPID)伪装方法可以绕过 AV/EDR检测,使其认为是 lsass.exe 这样的合法进程在进行活动。它通过伪装进程的 PID 以匹配其父进程的 PID 来做到这一点。这种方法可能带来的另一个好处是,如果父进程以 SYSTEM 权限运行,则可以凭借访问令牌的继承,使其子进程也具有相同的 SYSTEM 权限。
精选_修改指定进程PEB路径命令行信息实现进程伪装_源码打包
03-10
修改指定进程PEB路径命令行信息实现进程伪装
易语言改变进程路径
07-21
易语言改变进程路径源码,改变进程路径,GetPEB,取指针内容_整数,写到内存_整数,写到内存_短整数,辅_申请内存,辅_释放内存,ModifyRtlUnicodeString,AnsiToUnicode,伪装文件路径,伪装命令行,隐藏模块,CopyToPtr_FromStr...
Windows进程模块查看器-支持32位和64位进程
05-06
本工具通过读取进程PEB数据遍历进程所加载的模块信息,包括模块名,模块路径,模块基地址等信息,支持64位和32位进程
WOW64通过PEB获取32/64位进程以及模块信息(附带DEMO)
06-23
DELPHI代码实现。使用API NtWow64QueryInformationProcess64 获取进程的64位PEB结构地址。...特别说明:由于对于WINDOWS系统权限掌握尚不深入,对于WINDOWS系统进程,仅能读取进程信息,无法读取模块信息
起点小说解锁.js
04-27
起点小说解锁.js
299-煤炭大数据智能分析解决方案.pptx
04-27
299-煤炭大数据智能分析解决方案.pptx
299-教育行业信息化与数据平台建设分享.pptx
04-27
299-教育行业信息化与数据平台建设分享.pptx
基于Springboot+Vue酒店客房入住管理系统-毕业源码案例设计.zip
04-27
网络技术和计算机技术发展至今,已经拥有了深厚的理论基础,并在现实进行了充分运用,尤其是基于计算机运行的软件更是受到各界的关注。加上现在人们已经步入信息时代,所以对于信息的宣传和管理就很关键。系统化是必要的,设计网上系统不仅会节约人力和管理成本,还会安全保存庞大的数据量,对于信息的维护和检索也不需要花费很多时间,非常的便利。 网上系统是在MySQL建立数据表保存信息,运用SpringBoot框架和Java语言编写。并按照软件设计开发流程进行设计实现。系统具备友好性且功能完善。 网上系统在让售信息规范化的同时,也能及时通过数据输入的有效性规则检测出错误数据,让数据的录入达到准确性的目的,进而提升数据的可靠性,让系统数据的错误率降至最低。 关键词:vue;MySQL;SpringBoot框架 【引流】 Java、Python、Node.js、Spring Boot、Django、Express、MySQL、PostgreSQL、MongoDB、React、Angular、Vue、Bootstrap、Material-UI、Redis、Docker、Kubernetes
时间复杂度的一些相关资源
最新发布
04-27
时间复杂度是计算机科学用来评估算法效率的一个重要指标。它表示了算法执行时间随输入数据规模增长而变化的趋势。当我们比较不同算法的时间复杂度时,实际上是在比较它们在不同输入规模下的执行效率。 时间复杂度通常用大O符号来表示,它描述了算法执行时间上限的增长率。例如,O(n)表示算法执行时间与输入数据规模n呈线性关系,而O(n^2)则表示算法执行时间与n的平方成正比。当n增大时,O(n^2)算法的执行时间会比O(n)算法增长得更快。 在比较时间复杂度时,我们主要关注复杂度的增长趋势,而不是具体的执行时间。这是因为不同计算机硬件、操作系统和编译器等因素都会影响算法的实际执行时间,而时间复杂度则提供了一个与具体实现无关的评估标准。 一般来说,时间复杂度越低,算法的执行效率就越高。因此,在设计和选择算法时,我们通常希望找到时间复杂度尽可能低的方案。例如,在排序算法,冒泡排序的时间复杂度为O(n^2),而快速排序的时间复杂度在平均情况下为O(nlogn),因此在处理大规模数据时,快速排序通常比冒泡排序更高效。 总之,时间复杂度是评估算法效率的重要工具,它帮助我们了解算法在不同输入规模下的性
peb修改路径后不起效
07-15
### 回答1: 如果PebProcess Environment Block)的路径修改后不起效,可能有以下几个原因: 1. 没有正确修改Peb路径字段:Peb包含了进程的重要信息,包括程序的路径修改Peb路径字段需要确保将新路径正确写入该字段,否则路径修改不会生效。可能是在修改路径时出现了错误或者忘记将新的路径写入Peb。 2. 没有重启进程Peb路径字段只有在进程启动时才会读取并应用,如果修改路径后没有重启该进程,新的路径不会生效。所以,需要确保在修改Peb路径后,重启该进程使得新路径生效。 3. 被其他因素覆盖:有些程序会通过保护机制或安全策略来防止路径被非法修改,这可能导致Peb路径字段被恢复到原始值,从而修改路径无效。如果程序具有类似的安全策略,可能需要进行额外的操作才能成功修改路径。 4. 编程错误或操作系统限制:在某些情况下,可能由于编程错误或操作系统限制导致修改Peb路径无效。例如,某些操作系统可能限制了修改系统关键信息的能力,从而阻止了路径修改。需要详细检查程序或操作系统文档,以确定是否存在这种限制。 综上所述,如果Peb修改路径后不起效,需要检查是否正确修改Peb路径字段、是否重启了进程、是否存在安全策略限制以及是否涉及编程错误或操作系统限制。根据具体的情况进行对应的调整和修复,以使路径修改生效。 ### 回答2: 当在PEB进程环境块)修改路径后却不起效时,可能有以下几个可能的原因和解决方法。 第一个可能的原因是修改路径并不是PEB指定路径PEB保存了进程的环境变量和路径信息,当我们通过修改PEB路径来改变程序的搜索路径时,需要确保修改路径PEB路径一致。可以通过读取PEB路径信息,确认是否正确修改了对应的路径。 第二个可能的原因是修改路径的时机不正确。PEB保存的是进程启动时的路径信息,所以如果在进程启动后再修改PEB路径修改是无效的。需要在进程启动之前或者重新启动进程来使修改路径生效。 第三个可能的原因是缺少对修改路径的权限。PEB路径信息是受保护的,只有进程管理员或者具有足够权限的用户才能修改。因此,检查当前用户的权限,确保具备修改PEB路径的权限。 最后,可能是程序内部对路径信息进行了缓存。有些程序在启动时会对路径信息进行缓存,以提高性能或者减少文件系统访问次数。在这种情况下,即使修改PEB路径,程序仍然会使用缓存的路径信息。解决方法是重新启动程序或者清除缓存,使修改路径生效。 综上所述,当在PEB修改路径后却不起效时,需要检查是否正确修改了对应的路径修改路径的时机是否正确,用户是否具备修改PEB路径的权限,并考虑是否对路径信息进行了缓存。根据具体情况来采取相应的解决方法。 ### 回答3: 当修改PEB(进程环境块)路径后,可能会遇到路径不起效的情况。原因可能有以下几点: 1. 系统保护机制:PEB路径可能被系统保护机制所限制,在某些情况下无法实际生效。例如,部分操作系统禁止用户修改系统关键目录的路径。 2. 程序重启前置:某些程序在启动时会读取并保存PEB路径信息,如果在程序启动后修改PEB路径,程序需要重启才能生效。 3. 函数缓存:某些函数在调用时会缓存PEB路径信息,以提高性能。因此,如果修改PEB路径,可能需要等到缓存被刷新后才能生效。 4. 读写权限:PEB路径信息可能受到访问权限的限制。如果没有足够的权限来修改PEB路径修改将不会生效。 为解决这个问题,可以尝试以下方法: 1. 以管理员权限运行程序:如果修改路径位于系统关键目录下,确保以管理员身份运行程序,以获取足够的权限来修改PEB路径。 2. 重启程序:修改PEB路径后,尝试重启程序,以使修改能够生效。 3. 强制刷新缓存:可以尝试通过系统API或者特定的程序接口来刷新函数缓存,强制使修改后的PEB路径生效。 需要注意的是,在修改PEB路径前,请确保了解并理解系统的相关保护机制,以及修改后可能会产生的影响和风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值