通过修改peb中的命令行参数字段实现进程创建的劫持

于 2023-06-25 11:15:46 发布
阅读量305 收藏
点赞数
文章标签: windows peb
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pureman_mega/article/details/131373206
版权
文章介绍了恶意软件如何通过修改进程对象中的PEB结构体的命令行参数字段来实现浏览器主页劫持。在进程创建回调函数中,当用户层进程尚未初始化时,篡改命令行参数可以达到劫持目的。示例代码展示了如何在Windows系统中进行这种修改。
摘要由CSDN通过智能技术生成

    之前分析过的一些恶意软件中会使用这种方法来进行浏览器的主页劫持,其原理就是在进程创建回调函数中处理进程的创建消息。这个时候由于应用层的进程实体还没有开始初始化,所以通过命令行参数篡改来实现劫持;假如这个时候应用层的进程实体已经创建并完成初始化,修改命令行参数就达不到预期的作用(因为完成初始化后,peb中的命令行参数字段就不再需要了,不会重复初始化这个过程)。

   下面示例展示了如何修改命令行参数:以abcdefg.exe进程为例,其完整文件路径为:"C:\Users\1909\Desktop\abcdefg.exe";进修改后变为:"C:\Users\1909\Desktop\abcdefg.exe"  -124,当然也可以变为:"C:\Users\1909\Desktop\abcd.exe"  -124。

/*
演示如何修改进程对象中的peb中命令行参数字段

这种方法常见的被用在浏览器主页篡改

也可以用来观察其他进程启动的命令行参数


之所以可以这要操作的原因时:当进程创建回调函数收到进程创建的通知时,内核中的进程对象已经创建,
但是用户层的进程还是一个空壳,还没有申请用户层的资源,连主线程的没有启动。从这里可以联想到,
如果在这个时候对应用层的某个api进行的话,可能时机太早了,模块可能都还有加载。


*/


typedef struct _RTL_USER_PROCESS_PARAMETERS {
    BYTE           Reserved1[16];
    PVOID          Reserved2[10];
    UNICODE_STRING ImagePathName;
    UNICODE_STRING CommandLine;
} RTL_USER_PROCESS_PARAMETERS, * PRTL_USER_PROCESS_PARAMETERS;

typedef struct _PEB {
    BYTE                          Reserved1[2];
    BYTE                          BeingDebugged;
    BYTE                          Reserved2[1];
    PVOID                         Reserved3[2];
    PPEB_LDR_DATA                 Ldr;
    PRTL_USER_PROCESS_PARAMETERS  ProcessParameters;
    BYTE                          Reserved4[104];
    PVOID                         Reserved5[52];
    PPS_POST_PROCESS_INIT_ROUTINE PostProcessInitRoutine;
    BYTE                          Reserved6[128];
    PVOID                         Reserved7[1];
    ULONG                         SessionId;
} PEB, * PPEB;

NTSTATUS TamperProcessCommandLine(PEPROCESS process)
{
	NTSTATUS status = STATUS_UNSUCCESSFUL;
	LONG CompareResult=0;

	UNICODE_STRING string1;
	UNICODE_STRING append;
	WCHAR* NewCommandLine=NULL;

	if (process)
	{
		PPEB peb = PsGetProcessPeb(process);

		if (peb)
		{
			KAPC_STATE ApcState;
			//
			//如果不附加目标进程,会导致后面的peb访问异常
			//
			KeStackAttachProcess(process, &ApcState);

			DbgPrint("before CommandLine:%wZ\n", &(peb->ProcessParameters->CommandLine));

			RtlInitUnicodeString(&string1, L"\"C:\\Users\\1909\\Desktop\\abcdefg.exe\"");
			//DbgPrint("string1:%wZ\n", &string1);
			CompareResult = RtlCompareUnicodeString(&string1, &(peb->ProcessParameters->CommandLine), FALSE);
			
			if (wcsstr(peb->ProcessParameters->CommandLine.Buffer, L"abcdefg.exe"))
			{
				DbgPrint("CommandLine.Length:%d,CommandLine.MaxiumLength:%d\n", peb->ProcessParameters->CommandLine.Length, peb->ProcessParameters->CommandLine.MaximumLength);

				RtlInitUnicodeString(&append, L" -124");

				NewCommandLine = (WCHAR*)ExAllocatePool(NonPagedPool, 512);
				if (NewCommandLine)
				{
					wcscpy(NewCommandLine, peb->ProcessParameters->CommandLine.Buffer);
					wcscat(NewCommandLine, append.Buffer);

					wcscpy(peb->ProcessParameters->CommandLine.Buffer, NewCommandLine);
					peb->ProcessParameters->CommandLine.Length = (USHORT)wcslen(NewCommandLine) * 2;
					peb->ProcessParameters->CommandLine.MaximumLength = (USHORT)wcslen(NewCommandLine) * 2 + 2;

					DbgPrint("after CommandLine:%wZ\n", &(peb->ProcessParameters->CommandLine));

					status = STATUS_SUCCESS;
				}
			}

			KeUnstackDetachProcess(&ApcState);
		}
	}
	if (NewCommandLine)
	{
		ExFreePool(NewCommandLine);
		NewCommandLine = NULL;
	}
	return status;
}

效果截图:

 

pureman_mega
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
X64-R3层通过PEB获取进程命令行参数
qq_39708161的博客
02-04 2249
关于命令行参数 进程创建进程时,会传一个命令行给它,一般其第一个内容是其可执行文件的名称,因为在调用CreateProcess时,若applicationname参数为空(大多数情况都为空),则CreateProcess将会去解析命令行参数以此获得进程映像文件的完整路径.一般应用双引号"PathName"将完整路径包括起来,否则应用空格与其余命令行参数隔开,具体解析方式这里不详述 获
PEBFake:PEBFake(修改PEB 伪装当前进程路径、参数等)
05-27
PEBFake是一个C++编写的工具,主要用于修改PEB...总的来说,PEBFake展示了如何通过C++编程技术来操纵PEB实现进程信息的伪装。虽然这在某些场景下具有一定的研究价值,但在实际应用应遵循合法合规的原则,避免滥用。
Linux 2.6 劫持系统调用 隐藏进程
joy
03-22 3180
Linux 2.6 劫持系统调用 隐藏进程 linuxsystemtablestructhooklinux内核     一、原理        Intel x86系列微机支持256种断,为了使处理器比较容易地识别每种断源,把它们从0~256编号,即赋予一个断类型码n,Intel把它称作断向量。        而Linux的系统调用使用的是128号,即0x80号
Abuse process command line
Sven的忘却日记
04-29 509
这招可以用来bypass一些EDR监控创建进程时的命令行参数。 例如创建cmd进程时指定的参数是 wmic xxxx 但其实真实执行的是其他命令,powershell同理 #include "stdafx.h" #include <windows.h> #include <winternl.h> typedef NTSTATUS(WINAPI *_NtQueryInfo...
获得目标进程PEB,并获得进程各种信息
weixin_33762130的博客
02-14 1107
本程序可完美获得x64和x86程序PEB,及环境变量等信息。 程序首先用OpenProcess打开目标进程,然后用Ntddl.dll导入表微软未公开函数NtWow64QueryInformationProcess64(NtQueryInformationProcess)、NtWow64ReadVirtualMemory64(ReadProcessMemory)来获得目标进程信息。 // En...
恶意网页修改11种系统配置的处理办法(转)
08-13 115
恶意网页修改11种系统配置的处理办法(转)[@more@]  恶意网页越来越厉害,本文就给大家讲霁恶意网页修改11种系统配置的处理办法。  1.禁止使用电脑??现象描述:尽管网络流氓们用这一招的不多,但是一旦你招了,后果真是不...
精选_修改指定进程PEB路径和命令行信息实现进程伪装_源码打包
03-10
总结来说,"修改指定进程PEB路径和命令行信息实现进程伪装"是一种高级的系统编程技巧,涉及到Windows系统底层的进程内存操作。虽然它在特定场景下有其应用价值,但应谨慎使用,以免触犯法律或引起不必要的安全问题...
WOW64通过PEB获取32/64位进程以及模块信息(附带DEMO)
最新发布
06-23
通过PEB64结构进行遍历进程的64位模块。对于32位进程,通过 CreateToolhelp32Snapshot,Process32First,Process32Next,Module32First,Module32Next进行进程和模块的遍历。 特别说明:由于对于WINDOWS系统权限掌握...
MyHider.zip_peb_peb模块隐藏_vad_模块隐藏_进程隐藏
07-14
PEB模块隐藏是通过篡改PEB的InInitializationOrderModuleList和InLoadOrderModuleList等链表,将恶意模块从进程的模块列表移除,达到隐藏的目的。这种技术需要对Windows内核有深入理解,并且通常需要编写驱动...
Windows进程模块查看器-支持32位和64位进程
05-06
本工具通过读取进程PEB数据遍历进程所加载的模块信息,包括模块名,模块路径,模块基地址等信息,支持64位和32位进程
【权限提升】WIN本地用户&BypassUAC&DLL劫持&引号路径&服务权限
今天是几号的博客
02-24 1421
如果这些DLL 不存在,则可以通过在应用程序要查找的位置放置恶意DLL来提权。上方dll文件在C:\Windows目录下,普通用户权限不够,不能够劫持。注意:如果你经常安装新软件或访问不熟悉的网站,但更改 Windows 设置时不希望收到通知,则建议使用此选项。注意:如果需要花费很长时间才能降低计算机上的桌面亮度时,才建议选择此选项。注意:如果你经常安装新软件或访问陌生网站,则推荐使用此选项。利用火绒剑进行进程分析加载DLL,一般寻程序DLL利用。当你对 Windows 设置进行更改时不通知你。
计算机硬件参数的工具软件,电脑硬件参数修改工具
weixin_36372579的博客
07-17 6405
掘金硬件修改大师是一款能够修改电脑硬件参数的工具。它支持各种操作系统,可以伪造电脑所有的信息,通常被游戏工作室所使用。修改之后,你的电脑真实数据就会被隐藏,有效保护隐私。软件功能掘金硬件大师可以在不重启系统的情况下 实时修改 防止一些第三方软件尝试获取本机的真实硬件以及系统特征信息。网吧如果有人开挂被游戏封机器码怎么办?会导致正常不开挂的玩家也无法游戏。内核级软件,实时生效,无需重启。不影响系统正...
驱动开发:内核通过PEB得到进程参数
CSDN
10-10 1万+
文名是进程环境块信息,进程环境块内部包含了进程运行的详细参数信息,每一个进程在运行后都会存在一个特有的PEB结构,通过附加进程并遍历这段结构即可得到非常多的有用信息。,如果在内核层想要得到应用层进程PEB信息我们需要调用特定的内核函数来获取,如下案例将教大家如何在内核层取到应用层进程PEB结构。这个内核函数,因为该内核函数没有被公开所以调用之前需要头部导出,该函数需要传入用户进程的。附加到应用层进程上,即可直接输出进程PEB结构信息,如下代码。进程环境快结构体,用于对内存指针解析,新建。
Malware Dev 03 - 隐匿之 Command Line Spoofing 原理解析
0pr
03-03 618
这篇文章解释了 Command Line Spoofing 的原理,就是通过修改进程 PEB(Process Environment Block) 的 RTL_USER_PROCESS_PARAMETERS 结构,来达到隐藏真实命令参数的效果。
GetCommandLine 分析
热门推荐
jiangqin115的专栏
06-27 1万+
程序的 abc.exe 三个参数 1 2 3 1. 通过CreateProcess()调用abc.exe的情况 BOOL bRet = CreateProcess( sCmd, sParam, NULL, NULL, FALSE, 0, NULL, NULL, &si, &pi); (1)如果sCmd = "D:\test\abc.exe", sParam
CommandLineParser命令行参数解析的使用
qq_29239993的博客
04-04 2222
#include "opencv2/objdetect.hpp" #include "opencv2/highgui.hpp" #include "opencv2/imgproc.hpp" #include "opencv2/videoio.hpp" #include <iostream> using namespace std; using namespace cv; int main( int argc, const char** argv ) { /*************.
[源码和文档分享]劫持ZwQuerySystemInformation函数实现进程隐藏
qq_38474647的博客
01-03 235
背景 所谓的进程隐藏,通俗地说指的是某个进程正常工作,不受任何影响,但是,我们使用类似任务管理器、Process Explorer 等进程查看软件查看进程,却看不到这个进程。适合秘密在计算机后台进行操作的程序,而不想让人发现。 本文讲解的就是实现这样的一个进程隐藏程序的原理和过程,当然,进程隐藏的方法有很多,例如 DLL 劫持、DLL注入、代码...
DLL注入技术之劫持进程创建注入
weixin_34248023的博客
03-18 314
劫持进程创建注入原理是利用Windows系统CreateProcess()这个API创建一个进程,并将第6个参数设为CREATE_SUSPENDED,进而创建一个挂起状态的进程,利用这个进程状态进行远程线程注入DLL,然后用ResumeThread()函数恢复进程。 1.创建挂起的进程 下面是创建一个挂起的计算器程序进程的主要代码: STAR...
Windwos C语言驱动如何获取进程命令行参数
05-28
Windows C语言驱动可以通过调用PsLookupProcessByProcessId函数获取进程的EPROCESS结构体,然后通过EPROCESS结构体Peb字段获取进程PEB结构体,最后通过PEB结构体的ProcessParameters字段获取进程命令行参数。具体实现可以参考以下代码: ``` NTSTATUS GetProcessCommandLine(PUNICODE_STRING pCommandLine, HANDLE hProcessId) { NTSTATUS status = STATUS_SUCCESS; PEPROCESS pEprocess = NULL; PPEB pPeb = NULL; PRTL_USER_PROCESS_PARAMETERS pProcessParameters = NULL; KAPC_STATE state; // 获取进程EPROCESS结构体 status = PsLookupProcessByProcessId(hProcessId, &pEprocess); if (!NT_SUCCESS(status)) { return status; } // 获取进程PEB结构体 KeStackAttachProcess((PKPROCESS)pEprocess, &state); pPeb = PsGetProcessPeb(pEprocess); if (pPeb == NULL) { KeUnstackDetachProcess(&state); ObDereferenceObject(pEprocess); return STATUS_UNSUCCESSFUL; } // 获取进程命令行参数 pProcessParameters = pPeb->ProcessParameters; if (pProcessParameters == NULL || pProcessParameters->CommandLine.Length == 0) { KeUnstackDetachProcess(&state); ObDereferenceObject(pEprocess); return STATUS_UNSUCCESSFUL; } // 复制命令行参数到输出参数 status = RtlUnicodeStringCopy(pCommandLine, &pProcessParameters->CommandLine); if (!NT_SUCCESS(status)) { KeUnstackDetachProcess(&state); ObDereferenceObject(pEprocess); return status; } KeUnstackDetachProcess(&state); ObDereferenceObject(pEprocess); return STATUS_SUCCESS; } ``` 调用该函数时,需要传入进程ID和一个UNICODE_STRING类型的输出参数pCommandLine,函数会将进程命令行参数复制到pCommandLine
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值