进程伪装实现将进程伪装成任意程序

最新推荐文章于 2024-05-20 10:23:39 发布
最新推荐文章于 2024-05-20 10:23:39 发布
阅读量6.2k 收藏 11
点赞数 4
分类专栏: C/C++编程 文章标签: 进程伪装 PEB
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41890599/article/details/108771501
版权
本文探讨了如何通过修改进程环境块(PEB)中的进程路径和命令行信息,实现进程伪装,详细介绍了获取进程句柄、访问PEB以及篡改关键字段以达到欺骗系统的目的。
摘要由CSDN通过智能技术生成

进程伪装

修改指定进程环境块中的进程路径以及命令行信息,从而达到进程 伪装的效果。

  • 获取进程的句柄
  • 内联汇编获取peb
  • 修改命令行和imagepath
#include<windows.h>
#include<winternl.h>

BOOL DisguiseProcess(wchar_t *lpwszPath, wchar_t *lpwszCmd);

int main()
{
	wchar_t *lpwszPath = L"c:\\windows\\system32\\calc.exe";
	wchar_t *lpwszCmd = L"yeanhoo's calc";
	DisguiseProcess(lpwszPath, lpwszCmd);
	system("pause");
}

BOOL DisguiseProcess(wchar_t *lpwszPath, wchar_t *lpwszCmd)
{
	// 打开进程获取句柄
	HANDLE hProcess = GetModuleHandle(NULL);

	PPEB peb = { 0 };
	USHORT usCmdLen = 0;
	USHORT usPathLen = 0;
	
	__asm
	{
		mov	eax,fs:[30h]
		mov peb,eax
	}
	// 获取指定进程环境块结构中的ProcessParameters, 指针指向的是指定进程空间中


	usCmdLen = 2 + 2 * wcslen(lpwszCmd);
	(*peb).ProcessParameters->CommandLine.Buffer = lpwszCmd;
	(*peb).ProcessParameters->CommandLine.Length = usCmdLen
最低0.47元/天 解锁文章
yeanhoo
关注
  • 4
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
隐藏技术之进程伪装
weixin_42071117的博客
10-16 1565
// 简单的进程伪装就是修改进程名称,比如svchost.exe、services.exe等系统进程。 // 高级的进程伪装就是修改进程PEB数据,也就是在任务管理器中看到的进程的名称、启动路径等信息。 // NtQueryInformationProcess函数 // 作用:获取指定进程的信息。 // 原型:NSTATUS WINAPI NtQueryInformationProcess( // _In_ HANLDE hProcess; // _In_ PROCESSIN
修改人意程序的MD5值
04-15
MD5(Message-Digest Algorithm 5)是一种广泛使用的哈希函数,它能够将任意长度的数据转化为固定长度的输出,通常是一个128位的二进制数,通常以32位的十六进制数表示。在信息安全领域,MD5常用于文件校验,因为...
程序伪装
10-15
最新 程序伪装
详细讲解了 揭露进程伪装
06-12
详细讲解了揭露进程伪装术,很好,很值得下载
【驱动级!进程隐藏-按键精灵过检】驱动级,内核级进程隐藏,进程保护。实战效果演示,免费分享。
最新发布
luoqiaoliang的博客
05-20 1047
废话不多说,干货直接上! 免费的驱动级进程隐藏工具分享,还不赶紧带上你的赞和关注白嫖一波吗?
进程伪装详解
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
03-10 1347
当我们获取到一台主机的权限过后,拿到了自己想要搜集的信息,这时候我们就会留一个后门进行权限维持,权限维持的学问其实很深,今天就主要介绍其中一种比较简单的权限维持的方法 -- 进程伪装。我们知道在windows里面有很多系统进程,如。
SetWindowsHookEx与全局共享钩子
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
03-24 923
SetWindowsHookEx与全局共享钩子 对于远程钩子,钩子函数必须放到DLL中,它们将从DLL中映射到其它的进程空间中去。当WINDOWS映射DLL到其它的进程空间中去时,不会把数据段也进行映射。简言之,所有的进程仅共享DLL的代码,至于数据段,每一个进程都将有其单独的拷贝。这是一个很容易被忽视的问题。您可能想当然的以为,在 DLL中保存的值可以在所有映射该DLL的进程之间共享。在通
64位环境下32位进程获取64位进程的命令行参数和当前目录
weixin_34205076的博客
11-18 983
BOOL GetProcessCurDir(HANDLE hProcess,mystring&strCurDir){ BOOL bSuccess = FALSE; // PROCESS_BASIC_INFORMATION pbi; TNtQueryInformationProcess pfnNtQueryInformationProcess = NULL; ...
进程隐藏的各种方法 以及分析比较以及实现链接
weixin_30588729的博客
09-09 276
典型进程隐藏技术1 基于系统服务的进程隐藏技术在 W I N 9X 系列操作系统中, 系统进程列表中不能看到任何系统服务进程, 因此只需要将指定进程注册为系统服务就能够使该进程从系统进程列表中隐形 在win9x下用RegisterServiceProcess函数隐藏进程,NT架构下用不了 即win2000 xp等什么的用不了此方法。 2 基于API HOOK的进程...
如何创建一个进程
YeLing0119的博客
10-08 1331
如何创建一个进程   基础概念   要想了解进程,我们先看一下什么是程序。   程序:     为了完成特定任务的一系列指令的有序集合     存储在磁盘上     程序 : 代码 + 数据     那么什么时进程呢?   进程:     程序的一次动态执行过程     存储在内存中     每个程序都有自己的状态     每个进程...
易语言驱动级进程信息伪装源码 只支持 64位系统
06-06
易语言驱动级进程信息伪装源码 只支持 64位系统。@莫爱。
伪装线程进程
08-08
可以伪装现成进程
C# 进程隐藏
10-09
用API 开发 任务管理器注入 用计算器做例子
C#多进程浏览器-仿Chrome浏览器
07-24
C#多进程浏览器-仿Chrome浏览器
C#+任务管理器种隐藏进程
10-25
C#+任务管理器种隐藏进程
想走后门?没门!--常见后门伪装、检测、防范技巧大揭密:Linux/Unix近期相关漏洞.pdf
09-07
在 Linux 和 Unix 系统中,后门可以伪装成系统正常的进程或服务,从而逃避检测。例如,攻击者可以使用 rootkit 来隐藏自己的踪迹,使得系统管理员无法检测到后门的存在。 为了检测后门,管理员可以使用各种工具和...
vc++ 应用源码包_1
09-15
主要在MzfHipsDlg中,程序分析进程数据、驱动数据、注册表数据从而实现主动防御。 超级下载 不过不是c++源码 Notepad++ V5.6.8 源码! OA精灵代码 c++版 一套oa系统。 ocxdlgtest dll的一个实例。 OD反汇编引擎...
c语言实现信号回收子进程程序
05-13
在 C 语言中,可以使用 signal 函数来指定信号处理函数,从而实现信号回收子进程。具体步骤如下: 1. 在主函数中,使用 fork 函数创建子进程。 2. 在子进程中,执行需要的任务。 3. 在主进程中,使用 signal 函数指定 SIGCHLD 信号的处理函数。SIGCHLD 信号是在子进程终止或停止时发送给父进程的信号。 4. 在信号处理函数中,使用 waitpid 函数回收子进程。waitpid 函数可以阻塞父进程,直到指定的子进程结束。 下面是一个示例程序: ```c #include <stdio.h> #include <stdlib.h> #include <signal.h> #include <unistd.h> #include <sys/wait.h> void sig_handler(int signo) { if (signo == SIGCHLD) { int status; pid_t pid = waitpid(-1, &status, WNOHANG); if (pid > 0) { printf("Child process %d exited with status %d.\n", pid, status); } } } int main() { pid_t pid = fork(); if (pid == 0) { // 子进程执行任务 printf("Child process %d is running.\n", getpid()); sleep(5); printf("Child process %d finished.\n", getpid()); exit(0); } else if (pid > 0) { // 父进程等待子进程结束 signal(SIGCHLD, sig_handler); while (1) { sleep(1); } } else { fprintf(stderr, "Failed to fork.\n"); exit(1); } return 0; } ``` 在上面的程序中,首先使用 fork 函数创建子进程。在子进程中,模拟执行一个需要 5 秒钟的任务,然后退出。在父进程中,使用 signal 函数指定 SIGCHLD 信号的处理函数为 sig_handler。在 sig_handler 函数中,使用 waitpid 函数回收子进程。最后,父进程进入一个死循环,防止程序退出。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值