Malware Dev 03 - 隐匿之 Command Line Spoofing 原理解析

最新推荐文章于 2023-11-03 16:06:23 发布
最新推荐文章于 2023-11-03 16:06:23 发布
阅读量637 收藏 2
点赞数 1
分类专栏: MalwareDev 网络安全 文章标签: 安全 Malware windows PEB
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/heisejiuhuche/article/details/129311065
版权

写在最前

如果你是信息安全爱好者,如果你想考一些证书来提升自己的能力,那么欢迎大家来我的 Discord 频道 Northern Bay。邀请链接在这里:

https://discord.gg/9XvvuFq9Wb

我拥有 OSCP,OSEP,OSWE,OSED,OSCE3,CRTO,CRTP,CRTE,PNPT,eCPPTv2,eCPTXv2,KLCP,eJPT 证书。

所以,我会提供任一证书备考过程中尽可能多的帮助,并分享学习和实践过程中的资源和心得,大家一起进步,一起 NB~

背景

红队/渗透测试离不开命令行,在命令行执行命令的时候,执行的命令以及命令的参数,会被系统日志记录。那么我们的真实目的,就会被一览无余。

为了进一步隐藏我们的真实目的,混淆视听,我们可以使用 Command Line Spoofing 这个技巧,修改进程的 PEB,来达到隐藏真实命令的效果。

这篇文章,我们就来看一下 Command Line Spoofing 是如何实现的。

Command Line Spoofing

概述

Command Line Spoofing 是通过修改进程 PEB(Process Environment Block) 中的 RTL_USER_PROCESS_PARAMETERS 结构来达成的。原理就是这样,我们实践一下,看一下具体如何实现。

RTL_USER_PROCESS_PARAMETERS 结构

在命令行用 notepad 随便打开一个文件。

在这里插入图片描述

WinDBG hook 进程。

在这里插入图片描述

查看一下 PEB。

dt !_PEB

在这里插入图片描述

在 offset 0x20 的地方可以看到 RTL_USER_PROCESS_PARAMETERS 结构。

看一下官方的结构原型。

typedef struct _RTL_USER_PROCESS_PARAMETERS {
  BYTE           Reserved1[16];
  PVOID          Reserved2[10];
  UNICODE_STRING ImagePathName;
  UNICODE_STRING CommandLine;			// 重点在这里
} RTL_USER_PROCESS_PARAMETERS, *PRTL_USER_PROCESS_PARAMETERS;

第四个参数,CommandLine 是我们关注的重点。

我们看一下当前 _RTL_USER_PROCESS_PARAMETERS 的数据。

dt _RTL_USER_PROCESS_PARAMETERS

在这里插入图片描述

CommandLine 参数在 0x70 的位置上。

查看一下 _RTL_USER_PROCESS_PARAMETERS 结构在内存中的地址。

dt _peb @$peb

在这里插入图片描述

查看一下内存中的内容。可以直接点击 ProcessParameters

dx -r1 ((wintypes!_RTL_USER_PROCESS_PARAMETERS *)0x16c2c0f2b60)

最低0.47元/天 解锁文章
0pr
关注
专栏目录
Malware Dev 04 - 隐匿之 ETW(Event Tracing for Windows)Bypass
0pr
03-06 2059
这篇文章通过对 clr.dll,advapi32.dll,以及 ntdll.dll 的简单逆向,解析了 ETW(Event Tracing for Windows)的整体调用链。之后,我们介绍了两种 ETW 的绕过方式。一种是 patch EtwEventWrite 方法,另一种是 patch NtTraceEvent 方法。同时,配合 SilkETW,我们对两种绕过方式进行了成功验证。
让CMD命令隐藏执行
01-03 3032
文:RQC我们一般在执行 CMD 命令的时候都会蹦出来一个黑乎乎的窗口 这对我们来说是很不好的,在C#中如何隐藏呢 请看如下代码:System.Diagnostics.Process proc = new System.Diagnostics.Process();proc.StartInfo.WindowStyle = System.Diagnostics.ProcessWindowStyle.Hidden;proc.StartInfo.UseShellExecute = true;proc.StartIn
隐藏打开CMD,执行命令
shelutai的博客
12-23 765
隐藏打开CMD,执行命令
【调试技术】用户态查看PEB和TEB
最新发布
此地无银
11-03 526
概述:用户态查看进程 PEB 和 TEB(通过windbg附加或启动调试的exe)
驱动开发:内核通过PEB得到进程参数
CSDN
10-10 1万+
其中文名是进程环境块信息,进程环境块内部包含了进程运行的详细参数信息,每一个进程在运行后都会存在一个特有的PEB结构,通过附加进程并遍历这段结构即可得到非常多的有用信息。,如果在内核层想要得到应用层进程的PEB信息我们需要调用特定的内核函数来获取,如下案例将教大家如何在内核层取到应用层进程的PEB结构。这个内核函数,因为该内核函数没有被公开所以调用之前需要头部导出,该函数需要传入用户进程的。附加到应用层进程上,即可直接输出进程的PEB结构信息,如下代码。进程环境快结构体,用于对内存指针解析,新建。
通过修改peb中的命令行参数字段实现进程创建的劫持
pureman_mega的博客
06-25 332
之前分析过的一些恶意软件中会使用这种方法来进行浏览器的主页劫持,其原理就是在进程创建回调函数中处理进程的创建消息。下面示例展示了如何修改命令行参数:以abcdefg.exe进程为例,其完整文件路径为:"C:\Users\1909\Desktop\abcdefg.exe";进修改后变为:"C:\Users\1909\Desktop\abcdefg.exe" -124,当然也可以变为:"C:\Users\1909\Desktop\abcd.exe" -124。
malware-static-analysis:使用python进行静态恶意软件分析
05-11
检测域的存在,并检查它们是否在病毒总数,urlvoid之类的数据库中被列入黑名单。 (域信誉检查) 搜索可能的电子邮件地址(使用SpamAssassin的电子邮件信誉检查) 从Virustotal数据库获取结果(使用Virustotal ...
Malware-Sample-Sources:恶意软件样本来源
05-23
恶意软件样本源-恶意软件样本库的集合 这是一个旨在使恶意软件分析人员更容易找到病毒样本进行分析,研究,逆向工程或审查的项目。 恶意软件很难发现,更不用说对所有可能的地方都有深刻的了解。...
藏经阁-Fighting-Targeted-Malware-In-The-Mobile-Ecosystem.pdf
08-28
藏经阁-Fighting-Targeted-Malware-In-The-Mobile-Ecosystem.pdf 本文档主要讨论了移动生态系统中的目标化恶意软件,特别是 Chrysaor 恶意软件的检测和防御。以下是该文档的知识点总结: 一、移动生态系统中的目标...
Abuse process command line
Sven的忘却日记
04-29 516
这招可以用来bypass一些EDR监控创建进程时的命令行参数。 例如创建cmd进程时指定的参数是 wmic xxxx 但其实真实执行的是其他命令,powershell同理 #include "stdafx.h" #include <windows.h> #include <winternl.h> typedef NTSTATUS(WINAPI *_NtQueryInfo...
CommandLineParser命令行参数解析的使用
qq_29239993的博客
04-04 2276
#include "opencv2/objdetect.hpp" #include "opencv2/highgui.hpp" #include "opencv2/imgproc.hpp" #include "opencv2/videoio.hpp" #include <iostream> using namespace std; using namespace cv; int main( int argc, const char** argv ) { /*************.
GetCommandLine 分析
热门推荐
jiangqin115的专栏
06-27 1万+
程序的 abc.exe 三个参数 1 2 3 1. 通过CreateProcess()调用abc.exe的情况 BOOL bRet = CreateProcess( sCmd, sParam, NULL, NULL, FALSE, 0, NULL, NULL, &si, &pi); (1)如果sCmd = "D:\test\abc.exe", sParam
Linux隐匿和清除的几条命令
wjy397的专栏
12-17 5721
***************************************************************** 登录后执行下面命令,不记录历史命令(.bash_history) unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null; expo
OSCP证书考试总结与终身学习 - 带你走上 OSCE3
0pr
08-25 1万+
终于有点时间写些东西了。这半年来一直在准备 Offensive Security 的各种考试,内容太多。直到昨天,也就是8月24日,我完成了第二轮 OSEP 的 Lab,心里踏实多了,等着9月4日考试的同时,也想做个小结,谈谈我拿 OSCP 的历程以及今后的目标。希望可以为想考取 OSCP 的同学指明一些道路。
配置 FoxyProxy 规则自由切换代理模式
0pr
05-23 4361
背景介绍 FoxyProxy 已经是很好用的 Firefox 插件了,但是缺少键盘快捷键切换代理让使用体验变得很麻烦。 举例说明,FoxyProxy 设置了 4 个代理,分别是 Socks,none,BurpSuite 以及 ZAP。 Socks 你懂的,none 代表无需代理,BurpSuite 和 ZAP 是在测试 webapp 的时候使用(TryHackMe HackTheBox)。Burp 和 ZAP 我经常配合使用。麻烦事情就来了,如果每次使用 Burp 和 ZAP 的时候,都要手动切换,效率真的
初遇 chatGPT
0pr
12-19 4092
感觉人们的搜索行为方式要发生巨大改变了。Google 我想已经瑟瑟发抖(提供数据但是门户可能要洗白)。GPT 的回答准确率只要能保证,我想绝大多数人还是会喜欢用 GPT 搜索答案,不需要在搜索引擎上一条一条点进去看了。Amazon Alexa,Google Home,这些在智能家居和人机交互方面做出过尝试的应用,也要重新审视一下未来的市场变革。想象一下 GPT 强大的语义处理如何配合上强大的语音处理,BANG!钢铁侠的管家 Jarvis 就成了。
malware-detection-using-machine-learning
05-09
随着网络威胁日益增长和恶意软件的潜在危险日益加剧,对于恶意软件检测的需求也越来越高。传统恶意软件检测方法存在很多局限性,如签名不透明、固定规则无法识别新型恶意代码、容易受到欺骗等问题,机器学习成为了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值