通过修改peb中的命令行参数字段实现进程创建的劫持

于 2023-06-25 11:15:46 发布
阅读量283 收藏
点赞数
文章标签: windows peb
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pureman_mega/article/details/131373206
版权

    之前分析过的一些恶意软件中会使用这种方法来进行浏览器的主页劫持,其原理就是在进程创建回调函数中处理进程的创建消息。这个时候由于应用层的进程实体还没有开始初始化,所以通过命令行参数篡改来实现劫持;假如这个时候应用层的进程实体已经创建并完成初始化,修改命令行参数就达不到预期的作用(因为完成初始化后,peb中的命令行参数字段就不再需要了,不会重复初始化这个过程)。

   下面示例展示了如何修改命令行参数:以abcdefg.exe进程为例,其完整文件路径为:"C:\Users\1909\Desktop\abcdefg.exe";进修改后变为:"C:\Users\1909\Desktop\abcdefg.exe"  -124,当然也可以变为:"C:\Users\1909\Desktop\abcd.exe"  -124。

/*
演示如何修改进程对象中的peb中命令行参数字段

这种方法常见的被用在浏览器主页篡改

也可以用来观察其他进程启动的命令行参数


之所以可以这要操作的原因时:当进程创建回调函数收到进程创建的通知时,内核中的进程对象已经创建,
但是用户层的进程还是一个空壳,还没有申请用户层的资源,连主线程的没有启动。从这里可以联想到,
如果在这个时候对应用层的某个api进行的话,可能时机太早了,模块可能都还有加载。


*/


typedef struct _RTL_USER_PROCESS_PARAMETERS {
    BYTE           Reserved1[16];
    PVOID          Reserved2[10];
    UNICODE_STRING ImagePathName;
    UNICODE_STRING CommandLine;
} RTL_USER_PROCESS_PARAMETERS, * PRTL_USER_PROCESS_PARAMETERS;

typedef struct _PEB {
    BYTE                          Reserved1[2];
    BYTE                          BeingDebugged;
    BYTE                          Reserved2[1];
    PVOID                         Reserved3[2];
    PPEB_LDR_DATA                 Ldr;
    PRTL_USER_PROCESS_PARAMETERS  ProcessParameters;
    BYTE                          Reserved4[104];
    PVOID                         Reserved5[52];
    PPS_POST_PROCESS_INIT_ROUTINE PostProcessInitRoutine;
    BYTE                          Reserved6[128];
    PVOID                         Reserved7[1];
    ULONG                         SessionId;
} PEB, * PPEB;

NTSTATUS TamperProcessCommandLine(PEPROCESS process)
{
	NTSTATUS status = STATUS_UNSUCCESSFUL;
	LONG CompareResult=0;

	UNICODE_STRING string1;
	UNICODE_STRING append;
	WCHAR* NewCommandLine=NULL;

	if (process)
	{
		PPEB peb = PsGetProcessPeb(process);

		if (peb)
		{
			KAPC_STATE ApcState;
			//
			//如果不附加目标进程,会导致后面的peb访问异常
			//
			KeStackAttachProcess(process, &ApcState);

			DbgPrint("before CommandLine:%wZ\n", &(peb->ProcessParameters->CommandLine));

			RtlInitUnicodeString(&string1, L"\"C:\\Users\\1909\\Desktop\\abcdefg.exe\"");
			//DbgPrint("string1:%wZ\n", &string1);
			CompareResult = RtlCompareUnicodeString(&string1, &(peb->ProcessParameters->CommandLine), FALSE);
			
			if (wcsstr(peb->ProcessParameters->CommandLine.Buffer, L"abcdefg.exe"))
			{
				DbgPrint("CommandLine.Length:%d,CommandLine.MaxiumLength:%d\n", peb->ProcessParameters->CommandLine.Length, peb->ProcessParameters->CommandLine.MaximumLength);

				RtlInitUnicodeString(&append, L" -124");

				NewCommandLine = (WCHAR*)ExAllocatePool(NonPagedPool, 512);
				if (NewCommandLine)
				{
					wcscpy(NewCommandLine, peb->ProcessParameters->CommandLine.Buffer);
					wcscat(NewCommandLine, append.Buffer);

					wcscpy(peb->ProcessParameters->CommandLine.Buffer, NewCommandLine);
					peb->ProcessParameters->CommandLine.Length = (USHORT)wcslen(NewCommandLine) * 2;
					peb->ProcessParameters->CommandLine.MaximumLength = (USHORT)wcslen(NewCommandLine) * 2 + 2;

					DbgPrint("after CommandLine:%wZ\n", &(peb->ProcessParameters->CommandLine));

					status = STATUS_SUCCESS;
				}
			}

			KeUnstackDetachProcess(&ApcState);
		}
	}
	if (NewCommandLine)
	{
		ExFreePool(NewCommandLine);
		NewCommandLine = NULL;
	}
	return status;
}

效果截图:

 

pureman_mega
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
X64-R3层通过PEB获取进程命令行参数
qq_39708161的博客
02-04 2233
关于命令行参数 进程创建进程时,会传一个命令行给它,一般其第一个内容是其可执行文件的名称,因为在调用CreateProcess时,若applicationname参数为空(大多数情况都为空),则CreateProcess将会去解析命令行参数以此获得进程映像文件的完整路径.一般应用双引号"PathName"将完整路径包括起来,否则应用空格与其余命令行参数隔开,具体解析方式这里不详述 获
PEBFake:PEBFake(修改PEB 伪装当前进程路径、参数等)
05-27
Fake process imagepath and nameBTW当然你可以去修改其他进程PEB信息,参考:测试效果
Linux 2.6 劫持系统调用 隐藏进程
joy
03-22 3170
Linux 2.6 劫持系统调用 隐藏进程 linuxsystemtablestructhooklinux内核     一、原理        Intel x86系列微机支持256种断,为了使处理器比较容易地识别每种断源,把它们从0~256编号,即赋予一个断类型码n,Intel把它称作断向量。        而Linux的系统调用使用的是128号,即0x80号
Abuse process command line
Sven的忘却日记
04-29 496
这招可以用来bypass一些EDR监控创建进程时的命令行参数。 例如创建cmd进程时指定的参数是 wmic xxxx 但其实真实执行的是其他命令,powershell同理 #include "stdafx.h" #include <windows.h> #include <winternl.h> typedef NTSTATUS(WINAPI *_NtQueryInfo...
获得目标进程PEB,并获得进程各种信息
weixin_33762130的博客
02-14 1070
本程序可完美获得x64和x86程序PEB,及环境变量等信息。 程序首先用OpenProcess打开目标进程,然后用Ntddl.dll导入表微软未公开函数NtWow64QueryInformationProcess64(NtQueryInformationProcess)、NtWow64ReadVirtualMemory64(ReadProcessMemory)来获得目标进程信息。 // En...
驱动开发:内核通过PEB得到进程参数
CSDN
10-10 1万+
文名是进程环境块信息,进程环境块内部包含了进程运行的详细参数信息,每一个进程在运行后都会存在一个特有的PEB结构,通过附加进程并遍历这段结构即可得到非常多的有用信息。,如果在内核层想要得到应用层进程PEB信息我们需要调用特定的内核函数来获取,如下案例将教大家如何在内核层取到应用层进程PEB结构。这个内核函数,因为该内核函数没有被公开所以调用之前需要头部导出,该函数需要传入用户进程的。附加到应用层进程上,即可直接输出进程PEB结构信息,如下代码。进程环境快结构体,用于对内存指针解析,新建。
精选_修改指定进程PEB路径和命令行信息实现进程伪装_源码打包
03-10
修改指定进程PEB路径和命令行信息实现进程伪装
WOW64通过PEB获取32/64位进程以及模块信息(附带DEMO)
最新发布
06-23
通过PEB64结构进行遍历进程的64位模块。对于32位进程,通过 CreateToolhelp32Snapshot,Process32First,Process32Next,Module32First,Module32Next进行进程和模块的遍历。 特别说明:由于对于WINDOWS系统权限掌握...
MyHider.zip_peb_peb模块隐藏_vad_模块隐藏_进程隐藏
07-14
一个用来隐藏进程、通过修改PEB隐藏进程模块、通过修改VAD树隐藏进程模块的示例驱动,注释良好,适合初学者。
Windows进程模块查看器-支持32位和64位进程
05-06
本工具通过读取进程PEB数据遍历进程所加载的模块信息,包括模块名,模块路径,模块基地址等信息,支持64位和32位进程
Malware Dev 03 - 隐匿之 Command Line Spoofing 原理解析
0pr
03-03 586
这篇文章解释了 Command Line Spoofing 的原理,就是通过修改进程 PEB(Process Environment Block) 的 RTL_USER_PROCESS_PARAMETERS 结构,来达到隐藏真实命令参数的效果。
GetCommandLine 分析
热门推荐
jiangqin115的专栏
06-27 1万+
程序的 abc.exe 三个参数 1 2 3 1. 通过CreateProcess()调用abc.exe的情况 BOOL bRet = CreateProcess( sCmd, sParam, NULL, NULL, FALSE, 0, NULL, NULL, &si, &pi); (1)如果sCmd = "D:\test\abc.exe", sParam
CommandLineParser命令行参数解析的使用
qq_29239993的博客
04-04 2186
#include "opencv2/objdetect.hpp" #include "opencv2/highgui.hpp" #include "opencv2/imgproc.hpp" #include "opencv2/videoio.hpp" #include <iostream> using namespace std; using namespace cv; int main( int argc, const char** argv ) { /*************.
[源码和文档分享]劫持ZwQuerySystemInformation函数实现进程隐藏
qq_38474647的博客
01-03 230
背景 所谓的进程隐藏,通俗地说指的是某个进程正常工作,不受任何影响,但是,我们使用类似任务管理器、Process Explorer 等进程查看软件查看进程,却看不到这个进程。适合秘密在计算机后台进行操作的程序,而不想让人发现。 本文讲解的就是实现这样的一个进程隐藏程序的原理和过程,当然,进程隐藏的方法有很多,例如 DLL 劫持、DLL注入、代码...
DLL注入技术之劫持进程创建注入
潜心学习
06-28 2187
正规主题 作者: xusir98 日期: 2013-06-03 来源: 黑客反病毒 (http://bbs.hackav.com) 出处: 黑客反病毒 (http://bbs.hackav.com) 注意: 转载请务必附带本组信息,否则侵权必究! DLL注入技术之劫持进程创建
劫持系统进程禁止打开任何进程(5)
bad0126的博客
05-26 152
body { font-family: 微软雅黑,"Microsoft YaHei", Georgia,Helvetica,Arial,sans-serif,宋体, PMingLiU,serif; font-size: 10.5pt; line-height: 1.5; } html, body { } h1 { ...
运行期修改可执行文件的路径和Command Line
NetRoc的专栏
12-28 1055
运行期修改可执行文件的路径和Command Line  NetRochttp://www.DbgTech.net/目前的很多主动防御工具和反XX系统,在对特定进程进行保护的时候,出于兼容性的考虑,都会保留一些白名单。特别是一些系统进程,例如csrss.exe、svchost.exe等等。而针对这些系统进程,判断是否在白名单的方式,为了简便起见经常采用取系统路径、可执
Windwos C语言驱动如何获取进程命令行参数
05-28
Windows C语言驱动可以通过调用PsLookupProcessByProcessId函数获取进程的EPROCESS结构体,然后通过EPROCESS结构体Peb字段获取进程PEB...,最后通过PEB结构体的ProcessParameters字段获取进程命令行参数...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值