通过 PEB 改变进程名,实现“穿透”防火墙

最新推荐文章于 2022-10-13 13:32:19 发布
最新推荐文章于 2022-10-13 13:32:19 发布
阅读量1.9k 收藏
点赞数
分类专栏: windows系统管理和安全 文章标签: 防火墙 string parameters struct module list
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/577565
版权
PEB(Process Environment Block)——进程环境块,存放进程信息,每个进程都有自己的 PEB 信息。在 Win 2000 下,进程环境块的地址对于每个进程来说是固定的,在 0x7FFDF000 处,这是用户区内存,所以程序能够直接访问。准确的 PEB 地址应从系统的 EPROCESS 结构的 1b0H 偏移处获得,但由于 EPROCESS 在进程的核心内存区,所以程序不能直接访问。还可以通过 TEB 结构的偏移 30H 处获得 PEB 的位置,代码如下:
mov eax,fs:[18]
mov eax,[eax+30]
PEB 及其相关结构如下:
typedef void (*PPEBLOCKROUTINE)(PVOID PebLock);

typedef struct _UNICODE_STRING {
USHORT Length;
USHORT MaximumLength;
PWSTR Buffer;
} UNICODE_STRING, *PUNICODE_STRING;

typedef struct _RTL_DRIVE_LETTER_CURDIR {
USHORT Flags;
USHORT Length;
ULONG TimeStamp;
UNICODE_STRING DosPath;
} RTL_DRIVE_LETTER_CURDIR, *PRTL_DRIVE_LETTER_CURDIR;

typedef struct _PEB_LDR_DATA {
ULONG Length;
BOOLEAN Initialized;
PVOID SsHandle;
LIST_ENTRY InLoadOrderModuleList;
LIST_ENTRY InMemoryOrderModuleList;
LIST_ENTRY InInitializationOrderModuleList;
} PEB_LDR_DATA, *PPEB_LDR_DATA;

typedef struct _LDR_MODULE {
LIST_ENTRY InLoadOrderModuleList;
LIST_ENTRY InMemoryOrderModuleList;
LIST_ENTRY InInitializationOrderModuleList;
PVOID BaseAddress;
PVOID EntryPoint;
ULONG SizeOfImage;
UNICODE_STRING FullDllName;
UNICODE_STRING BaseDllName;
ULONG Flags;
SHORT LoadCount;
SHORT TlsIndex;
LIST_ENTRY HashTableEntry;
ULONG TimeDateStamp;
} LDR_MODULE, *PLDR_MODULE;

typedef struct _RTL_USER_PROCESS_PARAMETERS {
ULONG MaximumLength;
ULONG Length;
ULONG Flags;
ULONG DebugFlags;
PVOID ConsoleHandle;
ULONG ConsoleFlags;
HANDLE StdInputHandle;
HANDLE StdOutputHandle;
HANDLE StdErrorHandle;
UNICODE_STRING CurrentDirectoryPath;
HANDLE CurrentDirectoryHandle;
UNICODE_STRING DllPath;
UNICODE_STRING ImagePathName;
UNICODE_STRING CommandLine;
PVOID Environment;
ULONG StartingPositionLeft;
ULONG StartingPositionTop;
ULONG Width;
ULONG Height;
ULONG CharWidth;
ULONG CharHeight;
ULONG ConsoleTextAttributes;
ULONG WindowFlags;
ULONG ShowWindowFlags;
UNICODE_STRING WindowTitle;
UNICODE_STRING DesktopName;
UNICODE_STRING ShellInfo;
UNICODE_STRING RuntimeData;
RTL_DRIVE_LETTER_CURDIR DLCurrentDirectory[0x20];
} RTL_USER_PROCESS_PARAMETERS, *PRTL_USER_PROCESS_PARAMETERS;

typedef struct _PEB_FREE_BLOCK {
struct _PEB_FREE_BLOCK *Next;
ULONG Size;
} PEB_FREE_BLOCK, *PPEB_FREE_BLOCK;

typedef struct _PEB {
BOOLEAN InheritedAddressSpace;
BOOLEAN ReadImageFileExecOptions;
BOOLEAN BeingDebugged;
BOOLEAN Spare;
HANDLE Mutant;
PVOID ImageBaseAddress;
PPEB_LDR_DATA LoaderData;
PRTL_USER_PROCESS_PARAMETERS ProcessParameters;
PVOID SubSystemData;
PVOID ProcessHeap;
PVOID FastPebLock;
PPEBLOCKROUTINE FastPebLockRoutine;
PPEBLOCKROUTINE FastPebUnlockRoutine;
ULONG EnvironmentUpdateCount;
PVOID *KernelCallbackTable;
PVOID EventLogSection;
PVOID EventLog;
PPEB_FREE_BLOCK FreeList;
ULONG TlsExpansionCounter;
PVOID TlsBitmap;
ULONG TlsBitmapBits[0x2];
PVOID ReadOnlySharedMemoryBase;
PVOID ReadOnlySharedMemoryHeap;
PVOID *ReadOnlyStaticServerData;
PVOID AnsiCodePageData;
PVOID OemCodePageData;
PVOID UnicodeCaseTableData;
ULONG NumberOfProcessors;
ULONG NtGlobalFlag;
BYTE Spare2[0x4];
LARGE_INTEGER CriticalSectionTimeout;
ULONG HeapSegmentReserve;
ULONG HeapSegmentCommit;
ULONG HeapDeCommitTotalFreeThreshold;
ULONG HeapDeCommitFreeBlockThreshold;
ULONG NumberOfHeaps;
ULONG MaximumNumberOfHeaps;
PVOID **ProcessHeaps;
PVOID GdiSharedHandleTable;
PVOID ProcessStarterHelper;
PVOID GdiDCAttributeList;
PVOID LoaderLock;
ULONG OSMajorVersion;
ULONG OSMinorVersion;
ULONG OSBuildNumber;
ULONG OSPlatformId;
ULONG ImageSubSystem;
ULONG ImageSubSystemMajorVersion;
ULONG ImageSubSystemMinorVersion;
ULONG GdiHandleBuffer[0x22];
ULONG PostProcessInitRoutine;
ULONG TlsExpansionBitmap;
BYTE TlsExpansionBitmapBits[0x80];
ULONG SessionId;
} PEB, *PPEB;

PEB 结构中的 PPEB_LDR_DATA 是一个指向 PEB_LDR_DATA 的指针,PEB_LDR_DATA 结构中有 3 个 LIST_ENTRY 的指针,分别是 InLoadOrderModuleList; InMemoryOrderModuleList; InInitializationOrderModuleList,如此循环。可以通过这三个 LIST_ENTRY 结构来遍历进程加载的模块。LDR_MODULE 结构中的 FullDllName 成员便是一个包含模块名信息的 UNICODE_STRIN 结构,它的成员 Buffer 即是指向存放模块名的 UNICODE 字符串指针。还有要注意的是,RTL_USER_PROCESS_PARAMETERS 结构中的 ImagePathName.Buffer 和 LoaderData->InLoadOrderModuleList.Flink->FullDllName.Buffer 指向的其实是同一内存。


在 Windows 2000 下,枚举系统进程的方法无外乎通过 Tool Help 函数,或是 PSAPI 函数。这两类函数虽然接口不同,但最后还是通过调用 NTDLL.DLL 中导出的 NtQuerySystemInformation 函数来实现的。这些函数最终是通过 LDR_MODULE 中指向的那些模块信息来实现进程和模块名字查询的。所以,只要修改 LDR_MODULE 指向的那些信息就能实现改变进程名或模块名。注意那些字符串都是 unicode 形式的,改的时候别忘了。

这样改过之后虽然能够骗过 EnumProcessModules 和 Module32First、Module32Next 函数,但若使用 Process32Next、Process32First 函数,PROCESSENTRY32 结构中的 szExeFile 还是会如实的返回 EXE 文件名,如此一来,在“windows 任务管理器”里就穿邦了,即便你改了 BaseDllName 也没用。别急,当然还是有办法改的。不知诸位有没有注意到,用 Delphi 编译出来的可执行文件,如果你没改工程名的话,无论你怎么改可执行文件的文件名,在“windows 任务管理器”中总是显示“project1.exe”,具体什么原理我也不清楚。哪位有兴趣可以反汇编一下,看看具体是如何实现的,我的汇编功底太差了。

不过这样就够了,你可以做个试验,用以上方法改变一个有上网请求的进程的 ImagePathName,然后看看防火墙有什么反映。果然,被骗过去了。用这个方法就可以“穿透”防火墙了。

那具体应该改为哪个程序名呢?在 windows 2000 下,C:/WINNT/system32/services.exe 负责DNS解析等任务,总是被允许上网的,所以改成“C:/WINNT/system32/services.exe”就可以了。
iiprogram
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Delphi 内存管理器(进程
04-19
Delphi 内存管理器(进程) Delphi内存管理器(进程),因本程序涉及系统安全,所以编译生成EXE文件后有些杀毒软件会报警,请先关掉自动防护功能
windows 内核中获取当前进程路径
d2262272d的博客
04-02 718
BOOLEAN getCurProcPath( PEPROCESS curproc, PUNICODE_STRING uni_ImagePathName ) { /* wdbg cmd : dt _EPROCESS 0xFFFFFA801AB1D940 0xFFFFFA801AB1D940 == curproc +0x3e8 Peb : 0x000007f...
如何在NT下获取进程的路径(增补)
Ackarlix的专栏
08-30 1293
 如何在NT下获取进程的路径——获取NT中系统进程的路径整理:Ackarlix下载源代码一、程序说明  最近整理文档,发现以前写的《如何在NT下获取进程的路径》一文中还有个问题没有解决:原文中的程序无法获取系统进程的路径,如:csrss.exe。记得VCKBASE上有位网友说过一个方法:“给枚举的进程增加SE_DEBUG_NAME权限即可”,于是在网上找了些资料,解决了原文中的问题。这
【旧文章搬运】修已加载模块的称和路径
weixin_30646505的博客
12-26 102
原文发表于百度空间,2008-7-31========================================================================== 突然想起来的,修PEB掉EXE的路径,那么加载的DLL呢? 于是,马上动手实验了一下,遍历PEB中的模块列表双链,找到user32.dll后,修其映像和路径.具体信息在下面这个结构里: ty...
Delphi内存管理器(进程
05-16
内容索引:Delphi源码,系统相关,内存  Delphi内存管理器(进程),因本程序涉及系统安全,所以编译生成EXE文件后有些杀毒软件会报警,请先关掉自动防护功能。本程序运行截图如上图所示。
易语言改变进程路径
07-21
易语言改变进程路径源码,改变进程路径,GetPEB,取指针内容_整数,写到内存_整数,写到内存_短整数,辅_申请内存,辅_释放内存,ModifyRtlUnicodeString,AnsiToUnicode,伪装文件路径,伪装命令行,隐藏模块,CopyToPtr_FromStr...
MyHider.zip_peb_peb模块隐藏_vad_模块隐藏_进程隐藏
07-14
PEB模块隐藏是通过篡PEB中的InInitializationOrderModuleList和InLoadOrderModuleList等链表,将恶意模块从进程的模块列表中移除,达到隐藏的目的。这种技术需要对Windows内核有深入理解,并且通常需要编写驱动...
WOW64通过PEB获取32/64位进程以及模块信息(附带DEMO)
最新发布
06-23
通过PEB64结构进行遍历进程的64位模块。对于32位进程,通过 CreateToolhelp32Snapshot,Process32First,Process32Next,Module32First,Module32Next进行进程和模块的遍历。 特别说明:由于对于WINDOWS系统权限掌握...
PEBFake:PEBFake(修PEB 伪装当前进程路径、参数等)
05-27
PEBFake是一个C++编写的工具,主要用于修PEB...总的来说,PEBFake展示了如何通过C++编程技术来操纵PEB实现进程信息的伪装。虽然这在某些场景下具有一定的研究价值,但在实际应用中应遵循合法合规的原则,避免滥用。
精选_修指定进程PEB中路径和命令行信息实现进程伪装_源码打包
03-10
这个话题主要涉及如何修进程PEB(Process Environment Block)结构,从而改变进程的路径和命令行信息,使得进程看起来像是另一个不同的程序。下面将详细介绍这个过程。 首先,PEB是Windows操作系统中每个进程都...
无聊写个示例程序自身PEB欺骗SREng
wdykanq的专栏
07-15 2086
freesoft00 freesoft00当前离线 UID129513在线时间490 小时帖子1290积分2589技术0 魅力0 人气21 活力1202 性别保密经验2589 阅读权限30最后登录2012-6-29主题57精华0 卡饭_见习写手 距离下一级还需 411 积分 积分2589技术0 魅力0 人气21 注册
详解PID到进程的转换及伪装
05-15 1803
作者:天杀 很多时候我们都要用到从PID到进程的转换。先总结一下相关的一些常用函数。GetCurrentProcessIdGetWindowProcessID这是两个最常用的获得PID的函数。再看看如何通过PID获得进程先用OpenProcess把进程打开,然后一般用下面的一些方法来获得1.用快照函数CreateToolhelp32Snapshot,然后枚举进程,比较        Creat
进程路径
huanongying131的博客
01-13 815
转:https://www.pediy.com/kssd/pediy12/129136.html 有问题找看雪 进程完整路径获取方式详解 标 题:进程完整路径获取方式详解 作 者:zyhfut 时 间:2011-02-10 20:23:50  链 接:http://bbs.pediy.com/showthread.php?t=129136 标 题: 【原创】进程完整路径获取方式详解 作 者...
驱动开发:内核遍历进程VAD结构体
CSDN
10-13 1万+
树的每一个节点代表一段虚拟地址空间。程序中的代码段,数据段,堆段都会各种占用一个或多个。结构体,需要说明的是栈并不受VAD的管理。同样这是微软定义,如果想要的到最新的,自己下载WinDBG调试内核输入命令。内存块的属性,这个内存结构定义在WinDBG中可看到。结构的偏移值,每个系统都不一样,版本不同偏移值会不同。当需要得到该进程的VAD结构时,只需要使用。结构中可以找到VAD结构的相对偏移。可以看到在本系统中VAD的偏移是。头文件,并写入如下代码,此处的。来显示该进程的VAD树。结构树,这个结构通常在。
进程结构体和线程结构体
kernweak的博客
05-03 1135
首先说明这分析的是XP系统,WIN7每个单元偏移略有差距 进程结构体EPROCESS 每个windows进程在0环都有一个对应的结构体:EPROCESS 这个结构体包含了进程所有重要的信息。 PEB在3环,EPROCESS在0环。 KPROCESS主要成员介绍 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23...
关于进程PEB结构的修实现
eaglenet的专栏
02-18 4677
关于进程PEB结构前辈们给出了几篇比较详细的文章。例如:《JIURL玩玩Win2k进程线程篇 PEB》《陆麟 的 WIN2000 SP1的PEB结构》其中JIURL写的那篇是我到现在看到最详细的了。但是他们都没有给出具体的编程实现。所以在这里我就实现了一下PEB结构修算是一个小小补充吧:)。下面是我的实现代码。关于原理我在里就不多说了,原理的东西可以看上面两个大牛的文章。代码如下:CODE:
绕过防火墙限制的两种方法
热门推荐
≡≡奋斗中的猫≡≡
09-12 3万+
您是否碰到过这种情况,您所在的公司或学校的主机装有防火墙,由于这些防火墙的限制,使你不能随意去看某些网页或访问某些服务器,如果你回到“是”,那么就恭喜你了,因为我有办法绕过这些防火墙。   方法一:用网页转向功能   有些网站提供网页转向功能,那个提供这个功能的服务器就好像是代理一样差不多,这种方法过滤防火墙的原理如下:   假设一个防火墙不允许用户去看http://www.bux
Delphi获取进程的命令行参数
autumn20080101的专栏
05-05 2239
您现在的位置:首页 >> 算法基础 >> 信息正文 Delphi获取进程的命令行参数 2009-4-16 15:20:35 来源: 转载 作者:wr960204 访问:909 次 被顶:3 次 字号:【大 中 小】 type UNICODE_STRING = packed record Length: Word; MaximumLength: Word;
C++ Windows 下获取进程、可执行文件路径
biangechengxu的博客
11-18 3086
GetModuleFileNameEx: DWORD GetModuleFileNameEx(HANDLE hProcess,HMODULE hModule,LPTSTR lpFilename,DWORD nSize) hProcess是目标进程的句柄、hModule是目标模块的句柄(当此参数为NULL时函数返回的是进程可执行文件的路径)、lpFilename是存放路径的字符串缓冲区、nSize表示缓冲区的大小。函数调用失败将返回0。注:进程的句柄须有PROCESS_QUERY_INFORMATIO
通过PEB遍历进程模块(x64/wow4)
05-12
通过PEB,我们可以获取当前进程的模块信息,包括模块的基地址、模块的称等。 在x64和wow64下,PEB结构体的定义并没有变化,但是由于x64和wow64的指针长度不同,所以在使用PEB时需要注意指针长度的问题。 以下是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值