// 简单的进程伪装就是修改进程名称,比如svchost.exe、services.exe等系统进程。
// 高级的进程伪装就是修改进程的PEB数据,也就是在任务管理器中看到的进程的名称、启动路径等信息。
// NtQueryInformationProcess函数
// 作用:获取指定进程的信息。
// 原型:NSTATUS WINAPI NtQueryInformationProcess(
// _In_ HANLDE hProcess;
// _In_ PROCESSINFOCLASS ProcessInformationClass,
// _Out_ PVOID ProcesInformation,
// _In_ ULONG ProcessInformationLength,
// _Out_opt_ PULONG ReturnLength
// )
// 参数:hProcess:进程句柄,由OpenProcess函数获取。
// ProcessInformationClass:进程信息的类型,为以下枚举值之一:
// ProcessBasicInformation:检索指向PEB结构的指针。
// ProcessDebugPort:获取作为进程调试器端口号的DWORD_PTR值。
// ProcessWow64Information:确定进程是否在Wow64环境中运行。
// ProcessImageFileName:检索包含该进程映像文件名称的UNICODE_STRING值。
// ProcessBreakOnTermination:检索指示进程是否被视为关键的ULONG值。
// ProcessSubsystemInformation:检索指示进程子系统类别的SUBSYSTEM_INFORMATION_TYPE值。
// ProcessInformation:接收值,
// ProcessInformationLength:指定接收数据缓冲区的大小。
// ReturnLength:接收返回所请求信息的大小。
// 结果:返回一个NTSTATUS成功或错误代码。
// PROCESS_BASIC_INFORMATION结构体
// 定义: typedef struct _PROCESS_BASIC_INFORMATION {
// PVOID Reserved1;
// PPEB PebBaseAddress,
// PVOID Reserved2[2];
// ULONG_PTR UniqueProcessId;
// PVOID Reserved3;
// } PROCESS_BASIC_INFORMATION;
// 参数:PebBaseAddress成员指向PEB结构。
本文深入探讨了Windows操作系统中进程伪装的技术细节,包括如何通过修改进程信息、利用系统漏洞来实现进程隐藏,以及这些技术在恶意软件中的应用和防御策略。了解这些知识对于提升系统安全防护能力至关重要。
最低0.47元/天 解锁文章
815
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
