伪造父进程的另一种方式

最新推荐文章于 2024-03-10 12:00:00 发布
最新推荐文章于 2024-03-10 12:00:00 发布
阅读量1.7k 收藏 7
点赞数 1
分类专栏: 心情杂货铺 文章标签: 伪造父进程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cssxn/article/details/102834804
版权

创建任意进程,父进程为explorer.exe
在这里插入图片描述

#include "stdafx.h"
#include <windows.h>
#include <shlwapi.h>
#include <shlobj.h>

#pragma comment(lib, "shlwapi.lib")

// use the shell view for the desktop using the shell windows automation to find the
// desktop web browser and then grabs its view
//
// returns:
//      IShellView, IFolderView and related interfaces

HRESULT GetShellViewForDesktop(REFIID riid, void **ppv)
{
    *ppv = NULL;

    IShellWindows *psw;
    HRESULT hr = CoCreateInstance(CLSID_ShellWindows, NULL, CLSCTX_LOCAL_SERVER, IID_PPV_ARGS(&psw));
    if (SUCCEEDED(hr))
    {
        HWND hwnd;
        IDispatch* pdisp;
        VARIANT vEmpty = {}; // VT_EMPTY
        if (S_OK == psw->FindWindowSW(&vEmpty, &vEmpty, SWC_DESKTOP, (long*)&hwnd, SWFO_NEEDDISPATCH, &pdisp))
        {
            IShellBrowser *psb;
            hr = IUnknown_QueryService(pdisp, SID_STopLevelBrowser, IID_PPV_ARGS(&psb));
            if (SUCCEEDED(hr))
            {
                IShellView *psv;
                hr = psb->QueryActiveShellView(&psv);
                if (SUCCEEDED(hr))
                {
                    hr = psv->QueryInterface(riid, ppv);
                    psv->Release();
                }
                psb->Release();
            }
            pdisp->Release();
        }
        else
        {
            hr = E_FAIL;
        }
        psw->Release();
    }
    return hr;
}

// From a shell view object gets its automation interface and from that gets the shell
// application object that implements IShellDispatch2 and related interfaces.

HRESULT GetShellDispatchFromView(IShellView *psv, REFIID riid, void **ppv)
{
    *ppv = NULL;

    IDispatch *pdispBackground;
    HRESULT hr = psv->GetItemObject(SVGIO_BACKGROUND, IID_PPV_ARGS(&pdispBackground));
    if (SUCCEEDED(hr))
    {
        IShellFolderViewDual *psfvd;
        hr = pdispBackground->QueryInterface(IID_PPV_ARGS(&psfvd));
        if (SUCCEEDED(hr))
        {
            IDispatch *pdisp;
            hr = psfvd->get_Application(&pdisp);
            if (SUCCEEDED(hr))
            {
                hr = pdisp->QueryInterface(riid, ppv);
                pdisp->Release();
            }
            psfvd->Release();
        }
        pdispBackground->Release();
    }
    return hr;
}

HRESULT ShellExecInExplorerProcess(PCWSTR pszFile)
{
    IShellView *psv;
    HRESULT hr = GetShellViewForDesktop(IID_PPV_ARGS(&psv));
    if (SUCCEEDED(hr))
    {
        IShellDispatch2 *psd;
        hr = GetShellDispatchFromView(psv, IID_PPV_ARGS(&psd));
        if (SUCCEEDED(hr))
        {
            BSTR bstrFile = SysAllocString(pszFile);
            hr = bstrFile ? S_OK : E_OUTOFMEMORY;
            if (SUCCEEDED(hr))
            {
                VARIANT vtEmpty = {}; // VT_EMPTY
                hr = psd->ShellExecuteW(bstrFile, vtEmpty, vtEmpty, vtEmpty, vtEmpty);
                SysFreeString(bstrFile);
            }
            psd->Release();
        }
        psv->Release();
    }
    return hr;
}



int _tmain(int argc, _TCHAR* argv[])
{
    HRESULT hr = CoInitializeEx(NULL, COINIT_APARTMENTTHREADED | COINIT_DISABLE_OLE1DDE);
    if (SUCCEEDED(hr))
    {
        ShellExecInExplorerProcess(L"calc.exe");
        CoUninitialize();
    }
    return 0;
}
FFE4
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
检查进程是不是explorer
x
05-12 207
#include <iostream> #include <stdio.h> #include <stdlib.h> #include <Windows.h> #include <process.h> #include <Winternl.h> #include <Tlhelp32.h.> #include <tchar.h> using std::cout; using std::endl; DWO...
进程检测
qq_45806710的博客
11-15 1428
启动方式一般有3种: 1,Explrer.exe(资源管理器启动) 2.cmd.exe(命令行启动) 3.Sercices.exe(系统服务) 还要防止用调试器打开软件 VOID ParentsTest() { MyNtQueryInformationProcess pZwQueryInformationProcess; pZwQueryInformationProcess=(MyNtQueryInformationProcess)GetProcAddress(getModuleHan); PROCE
Windows Shell 编程 第十二章
chchzh的专栏
05-12 5299
第十二章 脚本Shell对象         新的Windows Shell 包含了丰富的新对象,这些新对象通过自动化体系提供了对Shell主要特征的完全访问能力。IE4.0在新版的shdocvw.dll中引进了这些COM新对象,并把它们作为核心部件。这些对象可以使你能编程驱动Shell和它的文件夹,并且在Internet客户SDK资料中(现在已经集成到平台SDK资料中)对这些对象有详细说明。
反调试 - 进程是否为 explorer.exe
LYSM
07-13 813
原理 正常情况下,我们自己的进程进程是 explorer.exe ,当然也有很多进程进程不是 explorer.exe(比如服务进程)但这不是我们考虑的范畴。如果程序在调试则进程是就是调试器进程。 代码示例 // Test_Console_1.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。 // #include <iostream> #include <Windows.h> #include <intrin.h> using na
VB反编译研究[转]
代码改变世界的专栏
10-22 4213
1.检测程序是否被各类debug程式所加载研究! VB code Private Declare Function CreateToolhelp32Snapshot Lib "kernel32" (ByVal dwFlags As Long, ByVal th32ProcessID As Long) As Long Private Declare Function Process32
pytorch GAN伪造手写体mnist数据集方式
09-18
这篇文章主要介绍了如何使用PyTorch实现一个生成对抗网络(GAN)来伪造手写体数字,具体针对MNIST数据集。MNIST数据集是机器学习领域非常经典的数据集,包含了大量的手写数字图像,通常用于训练和测试图像识别算法。...
伪造NT进程内存读写-易语言
06-12
标题中的“伪造NT进程内存读写-易语言”是指在编程中使用易语言实现对NT(Windows NT内核)进程内存的读写操作,并通过某种方式规避数据执行防止(DEP)机制。DEP是Windows操作系统为了提高安全性,防止恶意代码执行...
一种基于样本图像修复的有效伪造检测算法
03-31
本文提出了一种有效的伪造检测算法,该算法通过基于示例的修补来去除对象,该算法集成了中心像素映射(CPM),最大零连接组件标记(GZCL)和片段拼接检测(FSD)。 CPM通过有效地将那些具有相似哈希值的块进行匹配...
易语言伪造请求ip 伪造请求ip 网页访问伪造ip
03-09
易语言伪造网页访问ip地址 结合HTTP扩展请求头 X-Forwarded-For 可以对客户端IP进行伪造 X-Forwarded-For 是一个 HTTP 扩展头部,用来表示HTTP请求端真实 IP,HTTP/1.1 协议并没有对它的定义,但现如今X-Forwarded-...
一种新颖的视频区域复制被动伪造检测算法
02-25
在本文中,我们总结了视频区域重复伪造的性质,并提出了一种新颖的算法来检测这种伪造。 首先,该算法提取current.frame中的特征点。 然后搜索当前帧中的篡改区域,分三步实施。 最后,我们的算法使用时空上下文...
详细讲解了 揭露进程伪装术
06-12
详细讲解了揭露进程伪装术,很好,很值得下载
伪装线程进程
08-08
可以伪装现成进程
进程伪装实现将进程伪装成任意程序
yeanhoo的博客
09-24 6384
进程伪装 修改指定进程环境块中的进程路径以及命令行信息,从而达到进程 伪装的效果。 获取进程的句柄 内联汇编获取peb 修改命令行和imagepath #include<windows.h> #include<winternl.h> BOOL DisguiseProcess(wchar_t *lpwszPath, wchar_t *lpwszCmd); int main() { wchar_t *lpwszPath = L"c:\\windows\\system32\\c
Windows Shell 编程 第六章
chchzh的专栏
04-13 8636
第六章 快捷方式的最短路径         Windows Shell允许存储任何对象的引用到系统范围内的任何地点。例如,当你从一个文件夹拖拽可执行程序到另一个文件夹时,鼠标自动改变形状给出除拷贝和移动文件之外的第三种选择。                                                   除非你确定,否则可执行文件是不能拷贝或移动的,相反,每
利用window的CLSID可以干的一些事情
热门推荐
dvvnv的笔记
08-04 1万+
利用window的CLSID可以干的一些事情(关于CLSID的官方介绍) 一、隐藏文件 重命名文件为:回收站.{645FF040-5081-101B-9F08-00AA002F954E} 文件夹就会变为回收站,里面的文件也会隐藏起来。 恢复:在cmd中执行(ren回收站.{645FF040-5081-101B-9F08-00AA002F954E} 回收站)即可恢复。 二、快速打开 可以...
进程欺骗
qq_41252520的博客
04-25 2892
3.1.简介 进程欺骗技术是说,把一个恶意进程的 PID指定为一个合法的进程(lsass.exe)的 PID。 安全软件会通过对进程间关系的检测来判断该进程是否异常,攻击者以此技术规避启发式检测等防御手段。 3.2.原理 进程欺骗用的最多的方法就是通过CreateProcess\textcolor{cornflowerblue}{CreateProcess}CreateProcess函数实现,其原型如下: BOOL WINAPI CreateProcessA( _In_opt_ LPCS
进程伪装详解
最新发布
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
03-10 1569
当我们获取到一台主机的权限过后,拿到了自己想要搜集的信息,这时候我们就会留一个后门进行权限维持,权限维持的学问其实很深,今天就主要介绍其中一种比较简单的权限维持的方法 -- 进程伪装。我们知道在windows里面有很多系统进程,如。
2014简单绕过某60进程查杀
落笔飞花笑百生的博客
04-27 1760
 ;落笔飞花笑百生 ;2014.12.9 ;过360进程一个弱弱的方法 ;过360启动项 .386 .model flat,stdcall option casemap:none include windows.inc includelib kernel32.lib include kernel32.inc include user32.inc include
改进HCF的伪造IP检测:一种轻量级DDoS防御策略
因此,研究者开始探索新的防御方法,其中一种是通过检查伪造IP地址来识别并阻止DDoS攻击。 王海宁等人提出的HCF(Host Connection Filter)算法在充分训练后,对于伪造IP地址的检测效果显著。然而,由于网络流量...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值