windows父进程欺骗

最新推荐文章于 2024-05-29 08:30:00 发布
最新推荐文章于 2024-05-29 08:30:00 发布
阅读量435 收藏 2
点赞数
文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Timmbe/article/details/121756390
版权

Windows 父进程欺骗技术,其实就是创建一个进程,指定其他进程为这个新创建进程的父进程。

#include <windows.h>
#include <TlHelp32.h>
#include <iostream>

DWORD getParentProcessID() { //返回explorer.exe的pid
    HANDLE snapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
    PROCESSENTRY32 process = { 0 };
    process.dwSize = sizeof(process);

    if (Process32First(snapshot, &process)) {
        do {
            //If you want to another process as parent change here
            if (!wcscmp(process.szExeFile, L"explorer.exe"))
                break;
        } while (Process32Next(snapshot, &process));
    }

    CloseHandle(snapshot);
    return process.th32ProcessID;
}

int main() {
    STARTUPINFOEXA sInfoEX;
    PROCESS_INFORMATION pInfo;
    SIZE_T sizeT;

    HANDLE expHandle = OpenProcess(PROCESS_ALL_ACCESS, false, getParentProcessID()); //打开explorer进程获取当前进程所有权限

    ZeroMemory(&sInfoEX, sizeof(STARTUPINFOEXA)); //用0填充数组
    InitializeProcThreadAttributeList(NULL, 1, 0, &sizeT); //初始化指定的属性列表以创建进程和线程
    sInfoEX.lpAttributeList = (LPPROC_THREAD_ATTRIBUTE_LIST)HeapAlloc(GetProcessHeap(), 0, sizeT); //设置进程属性并从堆中分配内存
    InitializeProcThreadAttributeList(sInfoEX.lpAttributeList, 1, 0, &sizeT);
    UpdateProcThreadAttribute(sInfoEX.lpAttributeList, 0, PROC_THREAD_ATTRIBUTE_PARENT_PROCESS, &expHandle, sizeof(HANDLE), NULL, NULL); //更新用于进程和线程创建的属性列表中的指定属性。
    sInfoEX.StartupInfo.cb = sizeof(STARTUPINFOEXA);

    //CreateProcessA("C:\\Program Files\\internet explorer\\iexplore.exe", NULL, NULL, NULL, TRUE, CREATE_SUSPENDED | CREATE_NO_WINDOW | EXTENDED_STARTUPINFO_PRESENT, NULL, NULL, reinterpret_cast<LPSTARTUPINFOA>(&sInfoEX), &pInfo);
    CreateProcessA("notepad.exe", NULL, NULL, NULL, TRUE, CREATE_SUSPENDED | CREATE_NO_WINDOW | EXTENDED_STARTUPINFO_PRESENT, NULL, NULL, reinterpret_cast<LPSTARTUPINFOA>(&sInfoEX), &pInfo);

    ResumeThread(pInfo.hThread); //启动线程
    CloseHandle(pInfo.hThread); //关闭线程
    STARTUPINFOEXA si;
    PROCESS_INFORMATION pi;

    ZeroMemory(&si, sizeof(si));
    //si.cb = sizeof(si);
    ZeroMemory(&pi, sizeof(pi));

   

    // Start the child process. 
    if (!CreateProcessA(NULL,   // No module name (use command line)
        (LPSTR)"notepad1.exe",        // Command line
        NULL,           // Process handle not inheritable
        NULL,           // Thread handle not inheritable
        FALSE,          // Set handle inheritance to FALSE
        0,              // No creation flags
        NULL,           // Use parent's environment block
        NULL,           // Use parent's starting directory 
        reinterpret_cast<LPSTARTUPINFOA>(&si),            // Pointer to STARTUPINFO structure
        &pi)           // Pointer to PROCESS_INFORMATION structure
        )
    {
        printf("CreateProcess failed (%d).\n", GetLastError());
        return 0 ;
    }

    while (1);
    return 0;
}

 

 

放牛日记
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows 进程欺骗
linlin003的专栏
09-29 1770
Windows 进程欺骗,其实就是创建一个进程,指定其他进程为这个新创建进程进程。 通过CreateProcessA进行欺骗进程进行欺骗有许多方法,本文中着重介绍通过调用CreateProcessA函数进行实现,该方法最简单也最常用。 CreateProcessA函数允许用户创建新进程,默认情况下,会通过其继承的进程完成创建。该函数有一个名为“lpStartupInfo”的参数,该参数允许使用者自定义要使用的进程。该功能最初用于Windows Vista中设置UAC。 lpStar
红队技-进程伪装(MITRE ATT&CK框架:T1134)
蚁景网安学院
04-21 3477
PID(PPID)伪装方法可以绕过 AV/EDR检测,使其认为是 lsass.exe 这样的合法进程在进行活动。它通过伪装进程的 PID 以匹配其进程的 PID 来做到这一点。这种方法可能带来的另一个好处是,如果进程以 SYSTEM 权限运行,则可以凭借访问令牌的继承,使其子进程也具有相同的 SYSTEM 权限。
.NET 一款内网绕过防护的命令行交互工具
最新发布
ahhacker86的专栏
05-29 1012
Sharp4Cmd是一款基于 .NET 实现的命令行工具,其主要特点是可以不依赖 cmd.exe 来运行命令。通过调用 Windows 系统 API 来执行命令,从而实现绕过一些常见的安全检测机制。输入参数 "whoami /priv" 运行后的效果如下图所示。
进程命令行参数欺骗
蛇矛实验室
04-24 584
一些事件记录工具会监视目标进程的创建从而记录进程创建后的一些信息,可以在创建进程的时候使用假的命令行参数进行欺骗,从而误导这些分析工具,还存在一些进程管理工具,比如 Process Hacker 会通过目标进程的 PEB 中获取进程命令行参数信息,它会根据命令行参数的长度读取命令行参数信息,只需要修改命令行参数的长度进而欺骗这些进程管理工具。在进行进程命令行参数欺骗时,注意用于欺骗的命令行参数长度(在创建挂起的进程时传递的参数)要大于真实的命令行参数长度(在运行时修改的命令行参数)。
进程欺骗
qq_41252520的博客
04-25 2874
3.1.简介 进程欺骗是说,把一个恶意进程的 PID指定为一个合法的进程(lsass.exe)的 PID。 安全软件会通过对进程间关系的检测来判断该进程是否异常,攻击者以此技规避启发式检测等防御手段。 3.2.原理 进程欺骗用的最多的方法就是通过CreateProcess\textcolor{cornflowerblue}{CreateProcess}CreateProcess函数实现,其原型如下: BOOL WINAPI CreateProcessA( _In_opt_ LPCS
【argue】进程参数欺骗
dr0op's blog
05-20 627
进程参数欺骗原理 我们了解到利用argue进程参数欺骗可以在一定程度上绕过杀软拦截。它的原理是怎样的? 首先我们可以了解到,在一个进程运行后,它的运行参数是保存在进程空间的。如果我们获取到保存参数的进程内存地址,并将参数进行修改(修改并不影响原始的参数功能,因为在修改之前已经被启动了)那么就可以达到“欺骗”杀软,达到不被拦截的目的。至于参数保存在进程空间的哪里,如何去获取就是接下来要讨论的。 PEB进程环境块 PEB进程环境块中存放进程相关的一些信息,而我们需要的commandline就保存在PEB里。与P
Go4aRun:GO中的Shellcode运行程序,其中包含shellcode加密,远程进程注入,阻止dll和欺骗性的进程
03-20
通过nonms和onlystore变量在“不允许非MS”和“仅存储”之间更改parentName变量以更改欺骗级更改programPath变量以更改由级启动的进程,shellcode将注入该进程更改creationFlags以更改programPath变量的启动...
TokenPlayer:操纵和滥用Windows访问令牌
05-28
欺骗进程ID,并生成具有备用进程进程。 在模拟的上下文中执行具有提供的参数的任何应用程序。 通过使用管道进行进程通信,可以在非交互式上下文(例如,反向外壳)中使用。用法: General options: --...
defcon27_csharp_workshop:使用C#编写自定义后门有效负载-Defcon 27 Workshop
02-05
涵盖的技包括原始shellcode注入,进程注入,进程空心化,运行时编译,pid欺骗,防病毒绕行等。在研讨会结束时,与会者将从攻击和防御的角度清楚地了解这些技。 技能水平:中级 先决条件:中级编程/脚本技能...
patchii2:贫血的网吧戳工具
03-07
handyCafe模块(handycafe) 欺骗 前台查询 应用标题 应用类别名称 申请流程名称 用法 需要安装 。 运行patchii加载程序 选择目标进程“自动”按钮可用于根据预定义列表自动检测过程名称 设置要使用的客户端平台 ...
软件加密技内幕
03-19
5.3.3 检查进程 5.4 反DUMP技(Anti-Dump) 5.5 文件完整性检验 5.5.1 CRC校验实现 5.5.2 校验和(Checksum) 5.5.3 内存映像校验 5.6 反监视技(Anti-Monitor) 5.6.1 窗口方法检测 5.6.2 句柄检测 5.7 反...
网络靶场实战-免杀技之虚假进程
蛇矛实验室
12-14 1570
本篇文章涉及了几个重要的点,CreateProcessA ETW 进程伪装。目前我们所做的免杀并非单个技就可以完成的,我们要结合很多种免杀的手段或者动态改变的手段才能让自己的程序在对抗杀软的时候不落下风。蛇矛实验室成立于2020年,致力于安全研究、攻防解决方案、靶场对标场景仿真复现及技战法设计与输出等相关方向。团队核心成员均由从事安全行业10余年经验的安全专家组成,团队目前成员涉及红蓝对抗、渗透测试、逆向破解、病毒分析、工控安全以及免杀等相关领域。
获取当前进程进程
qq_36453052的博客
11-24 887
DWORD GetParentProcessID(DWORD dwId)   {       LONG                      status;       DWORD                     dwParentPID = (DWORD)-1;       HANDLE                    hProcess;       PROCESS_B
WIN通过子进程获取进程ID
shaochat的专栏
08-21 2847
// ParentPid.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include #include // 对着你的项目点击右键,依次选择:属性、配置属性、常规,然后右边有个“项目默认值”,下面有个2个MFC的使用选项 ULONG_PTR GetParentProc
修改目标进程进程
Richard的专栏
03-10 7428
 来源:http://pjf.blogone.net作者:pjf(jfpan20000@sina.com)  让小师弟测一下1.06的进程规则,他试了试问:“为什么里面有源进程进程两项?不就是指创建目标进程的那个进程,它们不是一个意思吗?”  因为很简单,略略回答了一下,因为好多天没在http://pjf.blogone.net上添东西了,敲下来充数,有点不好意思。   windows下的
workermanDay01 安装、Worker类
坚持硬核
09-09 279
workerman 开源异步PHP socket 即时通讯框架 0x00 Workman安装 安装 libevent(php<7) 或者 Event 扩展(php >=7) step1 不论php版本,都要安装 libevent 库: yum install libevent-devel -y step2 安装 Event扩展 pecl.php.net wget https://pecl.php.net/get/event-2.4.3.tgz 解压: tar xf event-
如何获取进程的ID
yangshen998
10-23 1235
如何获取进程的ID(hangwire发表于2001-12-26 17:00:47) 从所周知,在Windows NT/2000系统的API黑洞之一便是NTDLL.DLL,此DLL包含了许多未公开的API函数。本文将列举一、二,并用它们示范如何获取任何指定进程进程ID。 NTDLL.DLL中有一个函数叫NtQueryInformationProcess,用它可以将指定类型的进程信息拷贝到某个缓...
Windows内核--任务、进程和线程(2.4)
编程语言技巧经验分享
01-31 887
Windows内核有"任务"概念吗? 从技语来说,Windows内核并没有"任务"。"任务"一般被认为是抽象的需要执行的事情。在不同操作系统上,"任务"所代表的官方名称有所差异。
windows 的常用命令 查找进程 查看端口使用状态
zzzxxbird的专栏
08-27 1398
wmicprocesswhereName="进程名.exe"getParentProcessId wmicprocesswhereProcessId=PIDgetParentProcessId 查找进程 来源:https://blog.csdn.net/zhangatm/article/details/80762591 查看端口状态 netstat -...
windows进程和子进程
05-21
Windows 中,进程和子进程之间存在一种子关系,进程可以通过一些机制来控制子进程的行为。当一个进程创建了一个子进程时,子进程将继承进程的许多属性,例如环境变量、文件句柄和安全上下文等。 此外,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值