隐藏技术之进程伪装

最新推荐文章于 2024-04-24 18:51:37 发布
最新推荐文章于 2024-04-24 18:51:37 发布
阅读量1.5k 收藏 8
点赞数
分类专栏: C++黑客编程 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42071117/article/details/120795758
版权 
// 简单的进程伪装就是修改进程名称,比如svchost.exe、services.exe等系统进程。
// 高级的进程伪装就是修改进程的PEB数据,也就是在任务管理器中看到的进程的名称、启动路径等信息。

// NtQueryInformationProcess函数
// 作用:获取指定进程的信息。
// 原型:NSTATUS WINAPI NtQueryInformationProcess(
//        _In_ HANLDE hProcess;
//        _In_ PROCESSINFOCLASS ProcessInformationClass,
//        _Out_ PVOID ProcesInformation,
//        _In_ ULONG ProcessInformationLength,
//        _Out_opt_ PULONG ReturnLength      
//      )
// 参数:hProcess:进程句柄,由OpenProcess函数获取。
//       ProcessInformationClass:进程信息的类型,为以下枚举值之一:
//          ProcessBasicInformation:检索指向PEB结构的指针。
//          ProcessDebugPort:获取作为进程调试器端口号的DWORD_PTR值。
//          ProcessWow64Information:确定进程是否在Wow64环境中运行。
//          ProcessImageFileName:检索包含该进程映像文件名称的UNICODE_STRING值。
//          ProcessBreakOnTermination:检索指示进程是否被视为关键的ULONG值。
//          ProcessSubsystemInformation:检索指示进程子系统类别的SUBSYSTEM_INFORMATION_TYPE值。
//       ProcessInformation:接收值,
//       ProcessInformationLength:指定接收数据缓冲区的大小。
//       ReturnLength:接收返回所请求信息的大小。
// 结果:返回一个NTSTATUS成功或错误代码。

// PROCESS_BASIC_INFORMATION结构体
// 定义: typedef struct _PROCESS_BASIC_INFORMATION {
   
//           PVOID Reserved1;
//           PPEB PebBaseAddress,
//           PVOID Reserved2[2];
//           ULONG_PTR UniqueProcessId;
//           PVOID Reserved3;
//        } PROCESS_BASIC_INFORMATION;
// 参数:PebBaseAddress成员指向PEB结构。
最低0.47元/天 解锁文章
「已注销」
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解PID到进程名的转换及伪装
04-16 5034
很多时候我们都要用到从PID到进程名的转换。先总结一下相关的一些常用函数。GetCurrentProcessIdGetWindowProcessID这是两个最常用的获得PID的函数。再看看如何通过PID获得进程名先用OpenProcess把进程打开,然后一般用下面的一些方法来获得1.用快照函数CreateToolhelp32Snapshot,然后枚举进程,比较        CreateToolh
进程隐藏技术
w_g3366的博客
08-28 7813
文章目录进程隐藏技术1.进程伪装2.傀儡进程3.进程隐藏4.DLL劫持 进程隐藏技术 进程伪装:通过修改指定进程PEB中的路径和命令行信息实现伪装。 傀儡进程:通过进程挂起,替换内存数据再恢复执行,从而实现创建傀儡进程 进程隐藏:通过HOOK函数ZwQuerySystemInfornation实现进程隐藏 DLL劫持:通过#pragma comment指令直接转发DLL导出函数或者通过LoadL...
windows黑客编程技术隐藏技术进程伪装,傀儡进程进程隐藏
weixin_44891742的博客
07-26 5973
windows黑客编程技术隐藏技术进程伪装,傀儡进程进程隐藏
进程命令行参数欺骗
最新发布
蛇矛实验室
04-24 564
一些事件记录工具会监视目标进程的创建从而记录进程创建后的一些信息,可以在创建进程的时候使用假的命令行参数进行欺骗,从而误导这些分析工具,还存在一些进程管理工具,比如 Process Hacker 会通过目标进程的 PEB 中获取进程命令行参数信息,它会根据命令行参数的长度读取命令行参数信息,只需要修改命令行参数的长度进而欺骗这些进程管理工具。在进行进程命令行参数欺骗时,注意用于欺骗的命令行参数长度(在创建挂起的进程时传递的参数)要大于真实的命令行参数长度(在运行时修改的命令行参数)。
详细讲解了 揭露进程伪装
06-12
详细讲解了揭露进程伪装术,很好,很值得下载
基于visual c++之windows核心编程代码分析(50)伪装进程路径
weixin_30319097的博客
01-24 213
我们开发软件的时候,开发出来的软件经常被病毒攻击,伪装进程路径可以保护我们软件正常的运行,不受病毒的侵害,我们下面用代码修改进程信息结构的办法实现伪装进程路径。#include <windows.h> #include <stdio.h> #include <tchar.h> // 结构定义 typedef struct _PROCESS_BASI...
WIN下 修改,伪装进程路径。支持XP,WIN7 WIN764
08-25
代码完全远程。 可以在XP WIN7 WIN764 WIN2003 等操作系统上成功实现修改进程路径。 已经封装成类,使用及其方便。 部分代码: 头文件: #ifndef ModifyProcessPath_h__ #define ModifyProcessPath_h__ // 结构定义 typedef struct _PROCESS_BASIC_INFORMATION { DWORD ExitStatus; ULONG PebBaseAddress; ULONG AffinityMask; LONG BasePriority; ULONG UniqueProcessId; ULONG InheritedFromUniqueProcessId; } PROCESS_BASIC_INFORMATION, *PPROCESS_BASIC_INFORMATION; // API声明 typedef LONG (__stdcall *PZWQUERYINFORMATIONPROCESS) ( HANDLE ProcessHandle, ULONG ProcessInformationClass, PVOID ProcessInformation, ULONG ProcessInformationLength, PULONG ReturnLength ); class CModifyProcessPath { public: CModifyProcessPath(); BOOL Create(); BOOL ModifyProcessPath(LPCTSTR szPath); BOOL CamouflageExplorerPath(); }; #endif // ModifyProcessPath_h__ CPP部分代码: #include "StdAfx.h" #include "ModifyProcessPath.h" namespace MODIFY_PROCESS { wchar_t m_szModulePath[MAX_PATH]; DWORD dwGetModuleFileNameWAddress; DWORD dwModuleBaseAddress; //E9 (目标地址-当前地址 - 5) #pragma pack(1) typedef struct _JMPCODE { BYTE bJmp; DWORD dwAddr; }JMPCODE,*LPJMPCODE; #pragma pack() DWORD WINAPI MGetModuleFileNameW(HMODULE hModule,wchar_t * lpFilename,DWORD nSize); }; using namespace MODIFY_PROCESS; // 为了不影响在进程内使用 GetModuleFileNameW ,故hook之,返回正确的路径。 DWORD WINAPI MODIFY_PROCESS::MGetModuleFileNameW(HMODULE hModule,wchar_t * lpFilename,DWORD nSize) { typedef DWORD(WINAPI *MGetModuleFileNameWT)(HMODULE,LPWCH,DWORD); MGetModuleFileNameWT pMGetModuleFileNameW; pMGetModuleFileNameW = (MGetModuleFileNameWT)dwGetModuleFileNameWAddress; if(hModule == NULL || hModule ==(HMODULE)MODIFY_PROCESS::dwModuleBaseAddress) { StringCbCopyW(lpFilename,nSize,m_szModulePath); return wcslen(m_szModulePath); } return pMGetModuleFileNameW(hModule,lpFilename,nSize); } CModifyProcessPath::CModifyProcessPath() { } BOOL CModifyProcessPath::Create() { ZeroMemory(MODIFY_PROCESS::m_szModulePath,sizeof(MODIFY_PROCESS::m_szModulePath)); MODIFY_PROCESS::dwGet
易语言-伪装隐藏进程效果
06-25
在“易语言-伪装隐藏进程效果”这个主题中,我们将探讨如何利用易语言来实现进程伪装隐藏,这是一个在特定场景下可能会用到的技术,比如系统安全、软件保护等方面。 首先,我们要理解什么是进程。在计算机系统...
伪装隐藏进程效果-易语言
06-11
标题中的“伪装隐藏进程效果-易语言”指的是使用易语言编程实现的一种技术,该技术能够使得进程在操作系统中显得不可见或难以被检测到。易语言是中国本土开发的一款中文编程语言,它以简化的语法和丰富的库函数为...
VB隐藏进程
01-14
木马首先将自己伪装成DLL文件加载到内存中,然后通过线程注射技术将自身注入到其他正在运行的进程中。线程注射允许DLL的代码在其他进程的上下文中执行,这样木马就能绕过常规的安全检查,以目标进程的权限运行,提高...
驱动隐藏保护进程
02-17
2. **进程伪装**:将保护进程的标识信息(如进程名称、PID)进行伪装,使其不易被识别出来。这种方法可以混淆恶意软件,阻止其找到并攻击目标进程。 3. **反调试技术**:通过检测调试标志、异常处理和内存分析等...
修改、伪装进程路径。支持XP,WIN7 WIN764
03-29
windows下 修改,伪装进程路径。支持XP,WIN7 WIN764
易语言驱动级进程信息伪装源码 只支持 64位系统
06-06
易语言驱动级进程信息伪装源码 只支持 64位系统。@莫爱。
程序伪装
10-15
最新 程序伪装
伪装线程进程
08-08
可以伪装现成进程
C++ 修改指定进程 PEB 中路径和命令行信息实现进程伪装
LYSM
06-24 2584
背景 所谓的进程伪装,指的修改任意一个指定进程的信息,是它的信息在系统中的显示是另一个进程的信息,这样看来,指定的进程就像是被伪装进程一样,因为进程信息相同,但实际上,它还是原来的进程,做着原来的进程操作。 函数介绍 NtQueryInformationProcess NTSTATUS WINAPI NtQueryInformationProcess( _In_ HANDLE ProcessHandle, // 要获取信息的进程的句柄。
chatgpt赋能python:Python隐藏自身进程详解
lvsetongdao123的博客
06-30 742
隐藏自身进程是指在计算机运行时,将某个进程隐藏起来,让其他程序无法发现该进程的运行。在某些特定的情况下(如恶意软件攻击、计算机取证等),隐藏自身进程可以防止我们的程序被发现和破解,也可以保护我们的代码和数据安全。Python是一种高级编程语言,在隐藏自身进程方面具有很强的应用能力。本文介绍了三种常见的Python方法来隐藏自身进程,包括使用WinAPI、pywin32和psutil模块。无论是恶意软件攻击、计算机取证还是程序保护,Python都是一种强大而易于操作的工具。
【VBScript恶搞代码】将vbs文件伪装成exe文件
Mitchell_Donovan的博客
02-06 1856
前言???? 前面我们讲个几个vbs恶搞小程序,生成的vbs文件虽然可以QQ发送给朋友 但是它的文件类型还是vbs,而且图标也一直是那个 显得非常不专业!!! 今天教大家如何将vbs文件修改成exe,并且为它穿上"美丽的衣服"——生成图标 操作步骤???? ①首先下载工具————vbs to exe 获取地址:https://pan.baidu.com/s/1a12RR5X_9MOUqjGs6YLwQQ提取码: 59ck 下载完毕后是一个压缩包文件,解压后打开其中的exe文件即可
hide tooz系统进程隐藏
01-16
hide tooz系统进程隐藏是一种可以将系统进程隐藏起来的方法。常见的操作系统都会有一些系统进程在后台运行,这些进程负责维护系统的正常运行和管理各种任务。然而,有时候我们可能希望隐藏某些系统进程,以便更好地保护系统安全或者隐藏一些敏感的操作。 hide tooz系统进程隐藏技术会通过改变系统的内部设置或者修改系统的源代码,将某些进程隐藏或者伪装成其他进程。这样做的目的可能有多种,比如为了隐藏一些恶意软件的痕迹,使得系统难以检测到恶意行为;或者为了反制一些针对特定进程的攻击,通过隐藏进程的存在来绕过攻击者的侦测;又或者为了保护系统的核心进程,防止其被篡改或被关闭。 但需要注意的是,hide tooz系统进程隐藏并不是一项合法的操作,它可能会违反操作系统的使用条款或者违反某些法律法规。因此,如果没有足够的授权和合法的理由,不建议使用这种技术进行系统进程隐藏。 总结起来,hide tooz系统进程隐藏是一种修改系统设置或者源代码的技术,可以将系统进程隐藏起来,但使用时需要谨慎,遵守相关法律法规和操作系统的使用条款。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值