// 简单的进程伪装就是修改进程名称,比如svchost.exe、services.exe等系统进程。
// 高级的进程伪装就是修改进程的PEB数据,也就是在任务管理器中看到的进程的名称、启动路径等信息。
// NtQueryInformationProcess函数
// 作用:获取指定进程的信息。
// 原型:NSTATUS WINAPI NtQueryInformationProcess(
// _In_ HANLDE hProcess;
// _In_ PROCESSINFOCLASS ProcessInformationClass,
// _Out_ PVOID ProcesInformation,
// _In_ ULONG ProcessInformationLength,
// _Out_opt_ PULONG ReturnLength
// )
// 参数:hProcess:进程句柄,由OpenProcess函数获取。
// ProcessInformationClass:进程信息的类型,为以下枚举值之一:
// ProcessBasicInformation:检索指向PEB结构的指针。
// ProcessDebugPort:获取作为进程调试器端口号的DWORD_PTR值。
// ProcessWow64Information:确定进程是否在Wow64环境中运行。
// ProcessImageFileName:检索包含该进程映像文件名称的UNICODE_STRING值。
// ProcessBreakOnTermination:检索指示进程是否被视为关键的ULONG值。
// ProcessSubsystemInformation:检索指示进程子系统类别的SUBSYSTEM_INFORMATION_TYPE值。
// ProcessInformation:接收值,
// ProcessInformationLength:指定接收数据缓冲区的大小。
// ReturnLength:接收返回所请求信息的大小。
// 结果:返回一个NTSTATUS成功或错误代码。
// PROCESS_BASIC_INFORMATION结构体
// 定义: typedef struct _PROCESS_BASIC_INFORMATION {
// PVOID Reserved1;
// PPEB PebBaseAddress,
// PVOID Reserved2[2];
// ULONG_PTR UniqueProcessId;
// PVOID Reserved3;
// } PROCESS_BASIC_INFORMATION;
// 参数:PebBaseAddress成员指向PEB结构。
隐藏技术之进程伪装
最新推荐文章于 2024-04-24 18:51:37 发布