使用NtQueryInformationProcess伪装进程

最新推荐文章于 2024-06-25 10:53:44 发布
最新推荐文章于 2024-06-25 10:53:44 发布
阅读量1.2k 收藏 1
点赞数 1
分类专栏: # 隐藏技术 文章标签: windows 逆向
作者:苞米地里捉小鸡 版权声明:本文为博主原创文章,转载请附上博文链接!
本文链接:https://blog.csdn.net/weixin_42709632/article/details/109060960
版权

进程伪装 OpenProcess NtQueryInformationProcess PEB 进程信息
关键词由CSDN通过智能技术生成

 

背景

所谓的进程伪装,指的修改任意一个指定进程的信息,是它的信息在系统中的显示是另一个进程的信息,这样看来,指定的进程就像是被伪装的进程一样,因为进程信息相同,但实际上,它还是原来的进程,做着原来的进程操作。

实现原理

具体实现原理如下:

(1)首先通过OpenProcess函数获取指定PID进程的句柄

(2)然后,通过GetProcAddress获取位于ntdll.dll动态链接库中的NtQueryInformationProcess这个未导出的API

该函数返回一个NTSTATUS状态码

(3)然后,使用 NtQueryInformationProcess 函数获取指定进程的进程基本信息 PROCESS_BASIC_INFORMATION,并从中获取指定进程的进程环境块 PEB

获取环境块PEB需要用到ReadProcessMemory函数,因为我们是要去其他进程空间找相关数据

(4)最后,我们开始对指定进程 PEB 中路径信息、命令行信息进行更改,实现进程伪装。

编码实现

// 修改指定进程的进程环境块PEB中的路径和命令行信息, 实现进程伪装
BOOL DisguiseProcess(DWORD dwProcessId, wchar_t *lpwszPath, wchar_t *lpwszCmd)
{
    // 打开进程获取句柄
    HANDLE hProcess = ::OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProcessId);
    if (NULL == hProcess)
    {
        ShowError("OpenProcess");
        return FALSE;
    }
    typedef_NtQueryInformationProcess NtQueryInformationProcess = NULL;
    PROCESS_BASIC_INFORMATION pbi = { 0 };
    PEB peb = { 0 };
    RTL_USER_PROCESS_PARAMETERS Param = { 0 };
    USHORT usCmdLen = 0;
    USHORT usPathLen = 0;
    // 需要通过 LoadLibrary、GetProcessAddress 从 ntdll.dll 中获取地址
    NtQueryInformationProcess = (typedef_NtQueryInformationProcess)::GetProcAddress(
        ::LoadLibrary("ntdll.dll"), "NtQueryInformationProcess");
    if (NULL == NtQueryInformationProcess)
    {
        ShowError("GetProcAddress");
        return FALSE;
    }
    // 获取指定进程的基本信息
    NTSTATUS status = NtQueryInformationProcess(hProcess, ProcessBasicInformation, &pbi, sizeof(pbi), NULL);
    if (!NT_SUCCESS(status))
    {
        ShowError("NtQueryInformationProcess");
        return FALSE;
    }
    /*
          注意在读写其他进程的时候,注意要使用ReadProcessMemory/WriteProcessMemory进行操作,
        每个指针指向的内容都需要获取,因为指针只能指向本进程的地址空间,必须要读取到本进程空间。
        要不然一直提示位置访问错误!
    */
    // 获取指定进程进本信息结构中的PebBaseAddress
    ::ReadProcessMemory(hProcess, pbi.PebBaseAddress, &peb, sizeof(peb), NULL);
    // 获取指定进程环境块结构中的ProcessParameters, 注意指针指向的是指定进程空间中
    ::ReadProcessMemory(hProcess, peb.ProcessParameters, &Param, sizeof(Param), NULL);
    // 修改指定进程环境块PEB中命令行信息, 注意指针指向的是指定进程空间中
    usCmdLen = 2 + 2 * ::wcslen(lpwszCmd);
    ::WriteProcessMemory(hProcess, Param.CommandLine.Buffer, lpwszCmd, usCmdLen, NULL);
    ::WriteProcessMemory(hProcess, &Param.CommandLine.Length, &usCmdLen, sizeof(usCmdLen), NULL);
    // 修改指定进程环境块PEB中路径信息, 注意指针指向的是指定进程空间中
    usPathLen = 2 + 2 * ::wcslen(lpwszPath);
    ::WriteProcessMemory(hProcess, Param.ImagePathName.Buffer, lpwszPath, usPathLen, NULL);
    ::WriteProcessMemory(hProcess, &Param.ImagePathName.Length, &usPathLen, sizeof(usPathLen), NULL);
    return TRUE;
}

测试代码 

int _tmain(int argc, _TCHAR* argv[])
{
	if (FALSE == DisguiseProcess(4368, L"C:\\Windows\\explorer.exe", L"explorer.exe"))
	{
		printf("Dsisguise Process Error.\n");
	}
	printf("Dsisguise Process OK.\n");

	system("pause");
	return 0;
}

 

 

 

苞米地里捉小鸡
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
隐藏技术之进程伪装
weixin_42071117的博客
10-16 1619
// 简单的进程伪装就是修改进程名称,比如svchost.exe、services.exe等系统进程。 // 高级的进程伪装就是修改进程的PEB数据,也就是在任务管理器中看到的进程的名称、启动路径等信息。 // NtQueryInformationProcess函数 // 作用:获取指定进程的信息。 // 原型:NSTATUS WINAPI NtQueryInformationProcess( // _In_ HANLDE hProcess; // _In_ PROCESSIN
PEBFake:PEBFake(修改PEB 伪装当前进程路径、参数等)
05-27
Fake process imagepath and name BTW 当然你可以去修改其他进程的PEB信息,参考: 测试效果
伪装线程进程
08-08
可以伪装现成进程
攻击手段-进程伪装实现
最新发布
qq_43179054的博客
06-25 308
实现包括将本进程通过修改PEB伪装成explorer.exe,再通过com启动cmd.exe,绕过防护。
C++ 修改指定进程 PEB 中路径和命令行信息实现进程伪装
LYSM
06-24 2691
背景 所谓的进程伪装,指的修改任意一个指定进程的信息,是它的信息在系统中的显示是另一个进程的信息,这样看来,指定的进程就像是被伪装进程一样,因为进程信息相同,但实际上,它还是原来的进程,做着原来的进程操作。 函数介绍 NtQueryInformationProcess NTSTATUS WINAPI NtQueryInformationProcess( _In_ HANDLE ProcessHandle, // 要获取信息的进程的句柄。
基于visual c++之windows核心编程代码分析(50)伪装进程路径
weixin_30319097的博客
01-24 218
我们开发软件的时候,开发出来的软件经常被病毒攻击,伪装进程路径可以保护我们软件正常的运行,不受病毒的侵害,我们下面用代码修改进程信息结构的办法实现伪装进程路径。#include <windows.h> #include <stdio.h> #include <tchar.h> // 结构定义 typedef struct _PROCESS_BASI...
NtQueryInformationProcess用法
热门推荐
yiyefangzhou24的专栏
03-12 2万+
<br />      从所周知,在Windows NT/2000系统的API黑洞之一便是NTDLL.DLL,此DLL包含了许多未公开的API函数。本文将列举一、二,并以如何获取任何指定进程的父进程ID为例作为示范。<br />   NTDLL.DLL中有一个函数叫NtQueryInformationProcess,用它可以将指定类型的进程信息拷贝到某个缓冲。其原型如下:<br />NTSYSAPI<br />NTSTATUS<br />NTAPI<br />NtQueryInformationProces
openprocess打开进程失败_Windows不太常见的进程注入学习小记(一)
weixin_39984578的博客
12-03 1199
注:本篇文章经作者授权转载进程注入以下是自学习相关进程注入时写的笔记。HOOK Conhost.exe中保存的ConsoleWindowClass窗口类的虚表控制台应用程序窗口所属于的窗口类为ConsoleWindowClass,窗口中保存的用户数据并不在控制台程序的地址空间之中,而在Conhost.exe之中。用户数据的第一个8字节或4字节中保存的是该类的虚表地址。以修改ConHost...
NtQuerySystemInformation获得某进程某时刻占用的CPU、内存、虚拟内存、句柄数等信息.zip
03-19
Windows操作系统中,获取进程资源使用情况是系统分析和性能监控的重要部分。`NtQuerySystemInformation`函数是一个低级别的API调用,用于获取系统级的信息,包括但不限于进程信息、内存状态、硬件配置等。本项目...
得到指定进程所占用的句柄数_NtQueryInformationProcess第二个参数为20.zip
03-20
`NtQueryInformationProcess`是一个内核级的API函数,它允许我们查询进程的各种信息,包括进程ID、基础优先级、内存使用情况,以及我们关注的句柄数等。该函数的第二个参数`ProcessInformationClass`决定了我们要...
获取父进程的ID.获取父进程ID的代码 NtQueryInformationProces
03-20
总结来说,获取父进程ID的关键在于使用`NtQueryInformationProcess` API,并指定`ProcessBasicInformation`来获取进程的基本信息,其中包含了父进程的唯一标识。这个过程需要对Windows内核编程有一定的理解,但是...
WIN下 修改,伪装进程路径。支持XP,WIN7 WIN764
08-25
代码完全远程。 可以在XP WIN7 WIN764 WIN2003 等操作系统上成功实现修改进程路径。 已经封装成类,使用及其方便。 部分代码: 头文件: #ifndef ModifyProcessPath_h__ #define ModifyProcessPath_h__ // 结构定义 typedef struct _PROCESS_BASIC_INFORMATION { DWORD ExitStatus; ULONG PebBaseAddress; ULONG AffinityMask; LONG BasePriority; ULONG UniqueProcessId; ULONG InheritedFromUniqueProcessId; } PROCESS_BASIC_INFORMATION, *PPROCESS_BASIC_INFORMATION; // API声明 typedef LONG (__stdcall *PZWQUERYINFORMATIONPROCESS) ( HANDLE ProcessHandle, ULONG ProcessInformationClass, PVOID ProcessInformation, ULONG ProcessInformationLength, PULONG ReturnLength ); class CModifyProcessPath { public: CModifyProcessPath(); BOOL Create(); BOOL ModifyProcessPath(LPCTSTR szPath); BOOL CamouflageExplorerPath(); }; #endif // ModifyProcessPath_h__ CPP部分代码: #include "StdAfx.h" #include "ModifyProcessPath.h" namespace MODIFY_PROCESS { wchar_t m_szModulePath[MAX_PATH]; DWORD dwGetModuleFileNameWAddress; DWORD dwModuleBaseAddress; //E9 (目标地址-当前地址 - 5) #pragma pack(1) typedef struct _JMPCODE { BYTE bJmp; DWORD dwAddr; }JMPCODE,*LPJMPCODE; #pragma pack() DWORD WINAPI MGetModuleFileNameW(HMODULE hModule,wchar_t * lpFilename,DWORD nSize); }; using namespace MODIFY_PROCESS; // 为了不影响在进程使用 GetModuleFileNameW ,故hook之,返回正确的路径。 DWORD WINAPI MODIFY_PROCESS::MGetModuleFileNameW(HMODULE hModule,wchar_t * lpFilename,DWORD nSize) { typedef DWORD(WINAPI *MGetModuleFileNameWT)(HMODULE,LPWCH,DWORD); MGetModuleFileNameWT pMGetModuleFileNameW; pMGetModuleFileNameW = (MGetModuleFileNameWT)dwGetModuleFileNameWAddress; if(hModule == NULL || hModule ==(HMODULE)MODIFY_PROCESS::dwModuleBaseAddress) { StringCbCopyW(lpFilename,nSize,m_szModulePath); return wcslen(m_szModulePath); } return pMGetModuleFileNameW(hModule,lpFilename,nSize); } CModifyProcessPath::CModifyProcessPath() { } BOOL CModifyProcessPath::Create() { ZeroMemory(MODIFY_PROCESS::m_szModulePath,sizeof(MODIFY_PROCESS::m_szModulePath)); MODIFY_PROCESS::dwGet
c++模拟进程 解决c++中的难题
04-04
c++中不少的难题 让我来解救大家 来看看吧 !!!
如何得到其它进程的启动命令行参数.vc这个程序可以得到其他进程的命令行参数_NtQueryInformationProcess第二个参数为0
03-20
本程序“如何得到其它进程的启动命令行参数.vc”正是为此目的而设计,它利用了Windows API中的NtQueryInformationProcess函数来实现这一功能。下面将详细阐述相关知识点。 首先,我们需要理解什么是命令行参数。当...
openprocess打开进程失败_关于部分Windows7系统启动后update失败问题的处理方案
weixin_39817347的博客
12-03 361
关于部分Windows7系统启动后update失败问题的处理方案近期很多Windows7系统电脑多发Windows update失败后重启的情况,且整个update耗费时间较长,部分电脑重启多遍后可进入系统,但后期仍然会出现这个过程,对工作造成了不小影响。现象图片如下:解决方案:鉴于前不久微软官方宣布停止Windows7服务,Windows在更新过程中可能产生差错。建议不再启用Windo...
进程伪装实现将进程伪装成任意程序
yeanhoo的博客
09-24 6495
进程伪装 修改指定进程环境块中的进程路径以及命令行信息,从而达到进程 伪装的效果。 获取进程的句柄 内联汇编获取peb 修改命令行和imagepath #include<windows.h> #include<winternl.h> BOOL DisguiseProcess(wchar_t *lpwszPath, wchar_t *lpwszCmd); int main() { wchar_t *lpwszPath = L"c:\\windows\\system32\\c
关于进程PEB结构的修改实现
eaglenet的专栏
02-18 4710
关于进程PEB结构前辈们给出了几篇比较详细的文章。例如:《JIURL玩玩Win2k进程线程篇 PEB》《陆麟 的 WIN2000 SP1的PEB结构》其中JIURL写的那篇是我到现在看到最详细的了。但是他们都没有给出具体的编程实现。所以在这里我就实现了一下PEB结构修改算是一个小小补充吧:)。下面是我的实现代码。关于原理我在里就不多说了,原理的东西可以看上面两个大牛的文章。代码如下:CODE:
【渗透测试】初探进程伪装
HBohan的博客
11-03 604
前言 当我们获取到一台主机的权限过后,拿到了自己想要搜集的信息,这时候我们就会留一个后门进行权限维持,权限维持的学问其实很深,今天就主要介绍其中一种比较简单的权限维持的方法 – 进程伪装。 我们知道在windows里面有很多系统进程,如winlogon.exe、explorer.exe、services.exe等等,这些exe都是Windows必须具有的exe,当缺失某些exe的时候,windows就不能够正常运行,所以我们如果想到实现进程伪装,最好的选择就是伪装成系统必备的exe,当我们进行进程伪装之后,
The Folder Path "XXXX" Contains an Invalid Character 问题的另一个解决办法
weixin_30367543的博客
07-07 6196
今天安装一个自己写的.NET程序。程序使用Windows Installer打包,需要.NET 3.5。安装包没有问题,之前在其他机器上测过。系统是XP SP3. 我装好.NET所有需要的更新包后(包括语言包),运行安装包,直接出现“The Folder Path "XXXX" Contains an Invalid Character”错误,其中XXXX为乱码。安装无法继续。同时发现另一程序也无...
NtQueryInformationProcess
06-19
NtQueryInformationProcessWindows 操作系统中一个底层 API(应用程序编程接口)函数,用于从进程process)中获取各种信息。这个功能对于系统开发者和调试工具来说非常重要,因为它们可以用来检查进程的内存...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值