windows父进程欺骗

最新推荐文章于 2024-05-29 08:30:00 发布
最新推荐文章于 2024-05-29 08:30:00 发布
阅读量435 收藏 2
点赞数
文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Timmbe/article/details/121756390
版权

Windows 父进程欺骗技术,其实就是创建一个进程,指定其他进程为这个新创建进程的父进程。

#include <windows.h>
#include <TlHelp32.h>
#include <iostream>

DWORD getParentProcessID() { //返回explorer.exe的pid
    HANDLE snapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
    PROCESSENTRY32 process = { 0 };
    process.dwSize = sizeof(process);

    if (Process32First(snapshot, &process)) {
        do {
            //If you want to another process as parent change here
            if (!wcscmp(process.szExeFile, L"explorer.exe"))
                break;
        } while (Process32Next(snapshot, &process));
    }

    CloseHandle(snapshot);
    return process.th32ProcessID;
}

int main() {
    STARTUPINFOEXA sInfoEX;
    PROCESS_INFORMATION pInfo;
    SIZE_T sizeT;

    HANDLE expHandle = OpenProcess(PROCESS_ALL_ACCESS, false, getParentProcessID()); //打开explorer进程获取当前进程所有权限

    ZeroMemory(&sInfoEX, sizeof(STARTUPINFOEXA)); //用0填充数组
    InitializeProcThreadAttributeList(NULL, 1, 0, &sizeT); //初始化指定的属性列表以创建进程和线程
    sInfoEX.lpAttributeList = (LPPROC_THREAD_ATTRIBUTE_LIST)HeapAlloc(GetProcessHeap(), 0, sizeT); //设置进程属性并从堆中分配内存
    InitializeProcThreadAttributeList(sInfoEX.lpAttributeList, 1, 0, &sizeT);
    UpdateProcThreadAttribute(sInfoEX.lpAttributeList, 0, PROC_THREAD_ATTRIBUTE_PARENT_PROCESS, &expHandle, sizeof(HANDLE), NULL, NULL); //更新用于进程和线程创建的属性列表中的指定属性。
    sInfoEX.StartupInfo.cb = sizeof(STARTUPINFOEXA);

    //CreateProcessA("C:\\Program Files\\internet explorer\\iexplore.exe", NULL, NULL, NULL, TRUE, CREATE_SUSPENDED | CREATE_NO_WINDOW | EXTENDED_STARTUPINFO_PRESENT, NULL, NULL, reinterpret_cast<LPSTARTUPINFOA>(&sInfoEX), &pInfo);
    CreateProcessA("notepad.exe", NULL, NULL, NULL, TRUE, CREATE_SUSPENDED | CREATE_NO_WINDOW | EXTENDED_STARTUPINFO_PRESENT, NULL, NULL, reinterpret_cast<LPSTARTUPINFOA>(&sInfoEX), &pInfo);

    ResumeThread(pInfo.hThread); //启动线程
    CloseHandle(pInfo.hThread); //关闭线程
    STARTUPINFOEXA si;
    PROCESS_INFORMATION pi;

    ZeroMemory(&si, sizeof(si));
    //si.cb = sizeof(si);
    ZeroMemory(&pi, sizeof(pi));

   

    // Start the child process. 
    if (!CreateProcessA(NULL,   // No module name (use command line)
        (LPSTR)"notepad1.exe",        // Command line
        NULL,           // Process handle not inheritable
        NULL,           // Thread handle not inheritable
        FALSE,          // Set handle inheritance to FALSE
        0,              // No creation flags
        NULL,           // Use parent's environment block
        NULL,           // Use parent's starting directory 
        reinterpret_cast<LPSTARTUPINFOA>(&si),            // Pointer to STARTUPINFO structure
        &pi)           // Pointer to PROCESS_INFORMATION structure
        )
    {
        printf("CreateProcess failed (%d).\n", GetLastError());
        return 0 ;
    }

    while (1);
    return 0;
}

 

 

放牛日记
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows上获取进程的一种简单方法
murasakii的博客
01-30 2123
Windows平台简单获取进程的PID和进程
利用进程欺骗杀受保护进程
修养生息,以得佳境
03-13 2255
欺骗原理:首先编一个我们将要伪造的程序,使他的名字和我们要杀的进程的名字相同。当我们第一次杀掉那个受保护的进程后马上对它进行改名,然后将伪造的程序复制到要杀的程序所在的目录,这样就达到了欺骗的目的。我猜想,进程保护的原理就是检测系统中是否启动了期望运行的进程,如果没有发现则启动它。如果它被改动或删除,保护进程就象病毒那样自动生成一个它期望运行的进程。因为它是按进程名检测的,那么我们把同样名字的
Windows内核--任务、进程和线程(2.4)
编程语言技巧经验分享
01-31 886
Windows内核有"任务"概念吗? 从技语来说,Windows内核并没有"任务"。"任务"一般被认为是抽象的需要执行的事情。在不同操作系统上,"任务"所代表的官方名称有所差异。
.NET 一款内网绕过防护的命令行交互工具
最新发布
ahhacker86的专栏
05-29 1012
Sharp4Cmd是一款基于 .NET 实现的命令行工具,其主要特点是可以不依赖 cmd.exe 来运行命令。通过调用 Windows 系统 API 来执行命令,从而实现绕过一些常见的安全检测机制。输入参数 "whoami /priv" 运行后的效果如下图所示。
http://www.cr173.com/html/11519_1.html CreateProcess详解
05-05 7369
函数原型  BOOL CreateProcess   (   LPCTSTR lpApplicationName,   LPTSTR lpCommandLine,   LPSECURITY_ATTRIBUTES lpProcessAttributes。   LPSECURITY_ATTRIBUTES lpThreadAttributes,   BO
《操作系统真象还原》第十一章 ---- 实现用户进程 欺骗CPU通彻进程原理 眺望终点到达还需砥砺前行
Love 6's Private Blog
08-01 1914
文章目录相关查阅博客链接本书中错误勘误定义并初始化TSS修改global.h编写tss.c编写tss.h修改init.c修改后的MakeFilemake all 验证成果实现用户进程 相关查阅博客链接 本书中错误勘误 定义并初始化TSS 本书中 和 现代的操作系统Linux都没有采用硬件厂商提供的那种切换进程直接换TSS的操作 因为那样的话代价太大了 这里的话我们先把TSS基本的数据结构 和 用户进程DPL3的GDT符给弄好 因为在之前我记得是弄过了GDT了 只不过那个时候只弄了内核的描述符 而
Go4aRun:GO中的Shellcode运行程序,其中包含shellcode加密,远程进程注入,阻止dll和欺骗性的进程
03-20
通过nonms和onlystore变量在“不允许非MS”和“仅存储”之间更改parentName变量以更改欺骗级更改programPath变量以更改由级启动的进程,shellcode将注入该进程更改creationFlags以更改programPath变量的启动...
TokenPlayer:操纵和滥用Windows访问令牌
05-28
欺骗进程ID,并生成具有备用进程进程。 在模拟的上下文中执行具有提供的参数的任何应用程序。 通过使用管道进行进程通信,可以在非交互式上下文(例如,反向外壳)中使用。用法: General options: --...
defcon27_csharp_workshop:使用C#编写自定义后门有效负载-Defcon 27 Workshop
02-05
涵盖的技包括原始shellcode注入,进程注入,进程空心化,运行时编译,pid欺骗,防病毒绕行等。在研讨会结束时,与会者将从攻击和防御的角度清楚地了解这些技。 技能水平:中级 先决条件:中级编程/脚本技能...
patchii2:贫血的网吧戳工具
03-07
handyCafe模块(handycafe) 欺骗 前台查询 应用标题 应用类别名称 申请流程名称 用法 需要安装 。 运行patchii加载程序 选择目标进程“自动”按钮可用于根据预定义列表自动检测过程名称 设置要使用的客户端平台 ...
软件加密技内幕
03-19
5.3.3 检查进程 5.4 反DUMP技(Anti-Dump) 5.5 文件完整性检验 5.5.1 CRC校验实现 5.5.2 校验和(Checksum) 5.5.3 内存映像校验 5.6 反监视技(Anti-Monitor) 5.6.1 窗口方法检测 5.6.2 句柄检测 5.7 反...
隐藏技进程伪装
weixin_42071117的博客
10-16 1582
// 简单的进程伪装就是修改进程名称,比如svchost.exe、services.exe等系统进程。 // 高级的进程伪装就是修改进程的PEB数据,也就是在任务管理器中看到的进程的名称、启动路径等信息。 // NtQueryInformationProcess函数 // 作用:获取指定进程的信息。 // 原型:NSTATUS WINAPI NtQueryInformationProcess( // _In_ HANLDE hProcess; // _In_ PROCESSIN
CreateProcessAsUser之创建进程时指定进程与UAC(UAC原理)
热门推荐
挖树
10-15 1万+
UAC UAC(user account control),这里科普下UAC的功能,其实UAC就是大家常见的安装软件或者启动程序的时候的出现的全屏变暗的一个提示框,正常的UAC级别下,会检测程序是否有数字签名(可识别程序),以及他的数字签名是否合法,这对于一部分低端的木马具有提醒作用,所以除非特殊情况,不要乱对UCA降权。 UAC运行原理: 在Windows Vista操作系统中。 用户账户主要...
Windows创建进程时指定进程
被遗弃的庸才博客
11-04 1512
通常情况下,在进程特别多的情况下使用ProcMon抓行为的时候都只是简单的看一下该进程进程树,不会去注意系统进程创建的进程,这里就有了一个想法,可不可以在创建的时候指定进程,之后在网上找了份代码,也没改直接拿来测试下,发现在提权之后是可以指定进程为session 0的进程 #include<windows.h> #include<stdio.h> BOOL ...
获取进程ID
diaowei9599的博客
01-07 350
本程序主要功能是:获取某程序的ParentProcessID 直接上代码: 1 // parent.cpp (Windows NT/2000) 2 // 3 // This example will show the method how you can retrieve the parent 4 // process ID on Windows...
C++ 获取进程PID
RootSuper
12-22 2032
我们可以使用ntddl.dll中有一个函数叫NtQueryInformationProcess,用它可以将指定类型的进程信息拷贝到某个缓冲。其原型如下:NTSYSAPI NTSTATUS NTAPI NtQueryInformationProcess ( IN HANDLE ProcessHandle, // 进程句柄 IN PROCESSINFOCLASS InformationClass, //
VC获取进程PID
liujiayu2的专栏
11-18 1853
// tt.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include   #include   typedef enum enumSYSTEM_INFORMATION_CLASS   {       SystemBasicInformation,       SystemProcessorInformation,    
Flask部署
小熊同学的学习小屋
08-31 340
将"起点月票榜爬虫API"FlaskWeb部署至CentOS 7服务器上
windows进程获取进程的方法。
ningjingdemayi的专栏
09-11 6747
进程获取进程可以通过微软未公开的一个api实现 NTSTATUS WINAPI NtQueryInformationProcess( __in HANDLE ProcessHandle, __in PROCESSINFOCLASS ProcessInformationClass, __out PVOID ProcessInformation, __in ULONG ProcessIn
windows进程和子进程
05-21
Windows 操作系统中,进程是指正在运行的程序实例。一个进程可以创建其他进程,创建出来的进程称为子进程,而创建它的进程称为进程。 在 Windows 中,进程和子进程之间存在一种子关系,进程可以通过一些机制来控制子进程的行为。当一个进程创建了一个子进程时,子进程将继承进程的许多属性,例如环境变量、文件句柄和安全上下文等。 此外,进程还有权终止子进程的执行。当进程终止时,子进程也会被终止。但是,子进程可以选择忽略进程的终止请求,这种行为被称为“脱钩”。脱钩后,子进程将成为独立的进程,不再受进程的控制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值