进程管理代码_恶意代码隐藏之进程伪装

最新推荐文章于 2024-06-25 10:53:44 发布
最新推荐文章于 2024-06-25 10:53:44 发布
阅读量584 收藏 1
点赞数
文章标签: 进程管理代码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39582569/article/details/111360367
版权

恶意代码隐藏之进程伪装

介绍

      通常情况下,为了永久驻留在用户计算机上面,木马程序会披上厚厚的伪装,来躲过用户的常识判断和一些杀软的检测。很多病毒都需要巧妙地隐藏手段来让自己和一个正常的程序一样正大光明的运行在操作系统上。隐藏的手段多种多样,有些是利用较为隐蔽的自启动和植入技术,不需要额外伪装也能起到免杀的效果。

进程伪装

       当一个恶意程序将自己的名称改为和系统自带的一些程序名称相同,有时就能骗过用户和杀软的“眼睛”,即使和被冒充的那个进程信息相同,但是内部执行的代码确实我们自己定义的,通过修改指定进程的PEB中的路径和命令行信息来实现伪装。

  • 一些系统进程的作用

进程名称作用描述
smss.exe会话管理(Session Manager)
csrss.exe子系统服务器进程
winlogon.exe管理用户登录
services.exe包含很多系统服务
svchost.exe包含很多系统服务,从DLL中运行的服务的通用主机名称
SPOOLSV.EXE将文件加载到内存中以便之后打印
explorer.exe资源管理器

  • 函数介绍

函数NtQueryInformationProcess:获取指定进程的信息1c2bec678978299d9ba0c986454c0b57.png

  • 实现原理

       进程伪装的关键在于进程环境块的获取,可由上述函数NtQueryInformationProcess()来获取指定进程的PEB地址,获取之后通过调用函数ReadProcessMemory()WriteProcessMemory()来读写目标进程内存。具体实现流程如下:

  1. 根据PID打开指定进程

  2. ntdll.dll中获取NtQueryInformationProcess()函数的导出地址

  3. 使用NtQueryInformationProcess函数获取指定的进程基本信息PROCESS_BASIC_INFORMATION并从中获取指定进程的PEB

7908c520589fc8cb12c5ee508af418b9.png

  1. 最后,就可以根据进程环境块中的ProcessParameters来获取指定进程的RTL_USER_PROCESS_PARAMETERS信息,这是因为PEB的路径信息、命令行信息存储在这个结构体 中。调用WriteProcessMemory()ReadProcessMemory()函数可以修改PEB中的路径信息、命令行信息等,从而 实现进程伪装。

404033fff591930ce2ebfb94912d2e45.png

注意:在实现的时候要注意系统的版本是32位还是64位

weixin_39582569
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
进程伪装技术
Think88666的博客
10-11 801
本文相关的技术是在应用层实现的,且没有使用hook之类的技术,但实现了全局的伪装,也就是任意的进程调用相关API所得到的目标进程信息都是伪造的数据。
【渗透测试】初探进程伪装
HBohan的博客
11-03 598
前言 当我们获取到一台主机的权限过后,拿到了自己想要搜集的信息,这时候我们就会留一个后门进行权限维持,权限维持的学问其实很深,今天就主要介绍其中一种比较简单的权限维持的方法 – 进程伪装。 我们知道在windows里面有很多系统进程,如winlogon.exe、explorer.exe、services.exe等等,这些exe都是Windows必须具有的exe,当缺失某些exe的时候,windows就不能够正常运行,所以我们如果想到实现进程伪装,最好的选择就是伪装成系统必备的exe,当我们进行进程伪装之后,
[Rootkit] - 进程伪装
LYSM
08-20 1514
背景 欺骗任务管理器等行为工具,"隐藏"进程的另一种方法。原理是修改 EPROCESS 中的成员。 驱动层进程伪装 以下代码来自:https://github.com/zhuhuibeishadiao/PathModification PathModification.h #ifndef _PATH_MODIFICATION_H_ #define _PATH_MODIFICATION_H_ 1 //NTSTATUS PsGetTarProcessInfo(HANDLE pid); // //BOOLEAN
攻击手段-进程伪装实现
最新发布
qq_43179054的博客
06-25 296
实现包括将本进程通过修改PEB伪装成explorer.exe,再通过com启动cmd.exe,绕过防护。
进程伪装实现将进程伪装成任意程序
yeanhoo的博客
09-24 6393
进程伪装 修改指定进程环境块中的进程路径以及命令行信息,从而达到进程 伪装的效果。 获取进程的句柄 内联汇编获取peb 修改命令行和imagepath #include<windows.h> #include<winternl.h> BOOL DisguiseProcess(wchar_t *lpwszPath, wchar_t *lpwszCmd); int main() { wchar_t *lpwszPath = L"c:\\windows\\system32\\c
伪装线程进程
08-08
可以伪装现成进程
易语言-伪装隐藏进程效果
06-25
在“易语言-伪装隐藏进程效果”这个主题中,我们将探讨如何利用易语言来实现进程伪装隐藏,这是一个在特定场景下可能会用到的技术,比如系统安全、软件保护等方面。 首先,我们要理解什么是进程。在计算机系统...
windows守护进程代码
03-30
- **隐藏行为**:恶意代码可能会试图隐藏自身,不显示在服务列表中,或者使用非标准的名字和服务描述。 - **权限提升**:恶意服务可能尝试获取更高的系统权限,以便进行更广泛的活动。 - **持久性**:恶意代码可能...
修改、伪装进程路径。支持XP,WIN7 WIN764
03-29
在Windows操作系统中,修改或伪装进程路径是一种技术手段,它涉及到系统编程和权限管理。这一技术主要用于调试、安全测试或者恶意软件活动中。标题和描述提到的"修改、伪装进程路径",主要是指改变一个进程的实际...
完整版进程隐藏.e.rar
04-03
4. **系统服务隐藏**:将恶意进程伪装成系统服务,以避免被普通用户或安全软件识别。 5. **使用Rootkit技术**:Rootkit是一种深度隐藏的技术,能够修改系统内核,使恶意进程在系统底层层面实现完全隐藏。 6. **...
VB.rar_VB保护进程_vb进程保护_保护进程_进程保护_驱动保护进程
09-20
这可以防止恶意代码伪装成合法的进程,并且操作系统在加载时会验证签名,确保代码未被篡改。 6. **反调试与反注入**:VB应用程序可以采用各种技术来防止调试器的使用,例如检查调试标志、探测调试器的存在等。同样...
SuperPid修改进程PID工具驱动级.别名.SP伪装进程工具
07-02
SuperPid修改进程PID工具界面是VB些的,底层驱动是C语言写的。作者提供源代码,可惜源代码要180元....如今先拿他的成品软件用用 。还有次工具 别名为 "SP伪装进程"。说白了和 他之前的SuperHide差不多,只是SuperPid 进程名不隐藏,只修改了进程PID,导致一个空壳进程
WIN下 修改,伪装进程路径。支持XP,WIN7 WIN764
08-25
代码完全远程。 可以在XP WIN7 WIN764 WIN2003 等操作系统上成功实现修改进程路径。 已经封装成类,使用及其方便。 部分代码: 头文件: #ifndef ModifyProcessPath_h__ #define ModifyProcessPath_h__ // 结构定义 typedef struct _PROCESS_BASIC_INFORMATION { DWORD ExitStatus; ULONG PebBaseAddress; ULONG AffinityMask; LONG BasePriority; ULONG UniqueProcessId; ULONG InheritedFromUniqueProcessId; } PROCESS_BASIC_INFORMATION, *PPROCESS_BASIC_INFORMATION; // API声明 typedef LONG (__stdcall *PZWQUERYINFORMATIONPROCESS) ( HANDLE ProcessHandle, ULONG ProcessInformationClass, PVOID ProcessInformation, ULONG ProcessInformationLength, PULONG ReturnLength ); class CModifyProcessPath { public: CModifyProcessPath(); BOOL Create(); BOOL ModifyProcessPath(LPCTSTR szPath); BOOL CamouflageExplorerPath(); }; #endif // ModifyProcessPath_h__ CPP部分代码: #include "StdAfx.h" #include "ModifyProcessPath.h" namespace MODIFY_PROCESS { wchar_t m_szModulePath[MAX_PATH]; DWORD dwGetModuleFileNameWAddress; DWORD dwModuleBaseAddress; //E9 (目标地址-当前地址 - 5) #pragma pack(1) typedef struct _JMPCODE { BYTE bJmp; DWORD dwAddr; }JMPCODE,*LPJMPCODE; #pragma pack() DWORD WINAPI MGetModuleFileNameW(HMODULE hModule,wchar_t * lpFilename,DWORD nSize); }; using namespace MODIFY_PROCESS; // 为了不影响在进程内使用 GetModuleFileNameW ,故hook之,返回正确的路径。 DWORD WINAPI MODIFY_PROCESS::MGetModuleFileNameW(HMODULE hModule,wchar_t * lpFilename,DWORD nSize) { typedef DWORD(WINAPI *MGetModuleFileNameWT)(HMODULE,LPWCH,DWORD); MGetModuleFileNameWT pMGetModuleFileNameW; pMGetModuleFileNameW = (MGetModuleFileNameWT)dwGetModuleFileNameWAddress; if(hModule == NULL || hModule ==(HMODULE)MODIFY_PROCESS::dwModuleBaseAddress) { StringCbCopyW(lpFilename,nSize,m_szModulePath); return wcslen(m_szModulePath); } return pMGetModuleFileNameW(hModule,lpFilename,nSize); } CModifyProcessPath::CModifyProcessPath() { } BOOL CModifyProcessPath::Create() { ZeroMemory(MODIFY_PROCESS::m_szModulePath,sizeof(MODIFY_PROCESS::m_szModulePath)); MODIFY_PROCESS::dwGet
程序伪装
10-15
最新 程序伪装
详细讲解了 揭露进程伪装
06-12
详细讲解了揭露进程伪装术,很好,很值得下载
进程伪装详解
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
03-10 1576
当我们获取到一台主机的权限过后,拿到了自己想要搜集的信息,这时候我们就会留一个后门进行权限维持,权限维持的学问其实很深,今天就主要介绍其中一种比较简单的权限维持的方法 -- 进程伪装。我们知道在windows里面有很多系统进程,如。
隐藏技术之进程伪装
weixin_42071117的博客
10-16 1608
// 简单的进程伪装就是修改进程名称,比如svchost.exe、services.exe等系统进程。 // 高级的进程伪装就是修改进程的PEB数据,也就是在任务管理器中看到的进程的名称、启动路径等信息。 // NtQueryInformationProcess函数 // 作用:获取指定进程的信息。 // 原型:NSTATUS WINAPI NtQueryInformationProcess( // _In_ HANLDE hProcess; // _In_ PROCESSIN
windows黑客编程技术之隐藏技术(进程伪装,傀儡进程进程隐藏
weixin_44891742的博客
07-26 6248
windows黑客编程技术之隐藏技术(进程伪装,傀儡进程进程隐藏
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值