进程伪装实现将进程伪装成任意程序

最新推荐文章于 2024-03-10 12:00:00 发布

yeanhoo

最新推荐文章于 2024-03-10 12:00:00 发布

阅读量7.1k

点赞数 4

CC 4.0 BY-SA版权

分类专栏： C/C++编程文章标签：进程伪装 PEB

本文链接：https://blog.csdn.net/weixin_41890599/article/details/108771501

本文探讨了如何通过修改进程环境块（PEB）中的进程路径和命令行信息，实现进程伪装，详细介绍了获取进程句柄、访问PEB以及篡改关键字段以达到欺骗系统的目的。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

进程伪装

修改指定进程环境块中的进程路径以及命令行信息，从而达到进程伪装的效果。

获取进程的句柄
内联汇编获取peb
修改命令行和imagepath

#include<windows.h>
#include<winternl.h>

BOOL DisguiseProcess(wchar_t *lpwszPath, wchar_t *lpwszCmd);

int main()
{
	wchar_t *lpwszPath = L"c:\\windows\\system32\\calc.exe";
	wchar_t *lpwszCmd = L"yeanhoo's calc";
	DisguiseProcess(lpwszPath, lpwszCmd);
	system("pause");
}

BOOL DisguiseProcess(wchar_t *lpwszPath, wchar_t *lpwszCmd)
{
	// 打开进程获取句柄
	HANDLE hProcess = GetModuleHandle(NULL);

	PPEB peb = { 0 };
	USHORT usCmdLen = 0;
	USHORT usPathLen = 0;
	
	__asm
	{
		mov	eax,fs:[30h]
		mov peb,eax
	}
	// 获取指定进程环境块结构中的ProcessParameters, 指针指向的是指定进程空间中


	usCmdLen = 2 + 2 * wcslen(lpwszCmd);
	(*peb).ProcessParameters->CommandLine.Buffer = lpwszCmd;
	(*peb).ProcessParameters->CommandLine.Length = usCmdLen;
	// 修改指定进程环境块PEB中命令行信息, 注意指针指向的是指定进程空间中


	usPathLen = 2 + 2 * wcslen(lpwszP