windows在ring3层的三种进程伪装技术

原创 于 2025-07-07 11:23:05 发布 · 549 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #系统安全 #windows #c++

本文介绍了三种windows在ring3层可用的进程伪装技术。

进程命令行和当前路径欺骗

PEB(进程环境块)是保存进程运行信息的一个用户态的数据结构。PEB中定义了当前模块的名称,命令行参数和当前路径等信息,有一些进程监视工具(如ProcessHacker)是直接读取该数据结构的信息,然后显示给用户,辅助用户进行分析。(PEB结构的定义可以查看 http://www.nirsoft.net/kernel_struct/vista/PEB.html)

我们要修改进程的命令行参数和当前路径,需要修改ProcessParameters结构。

在这里插入图片描述

我们只需关注CurrentDirectory、ImagePathName和CommandLine三个字段。

在这里插入图片描述

实现思路比较清晰,首先取得当前进程PEB结构的地址,然后修改结构体的相关位置即可。核心代码如下。

在这里插入图片描述

执行完这段代码,当前进程的信息就会被修改,接下来我们可以加入一些普通的shellcode加载器代码来执行shellcode,这样我们的后门进程进行了一定程度的伪装。看一下效果。

在这里插入图片描述

shell可以正常使用,没有任何影响。

在这里插入图片描述

在这里插入图片描述

父进程欺骗

通常情况下,我们通过CreateProcess API创建进程,父进程ID就是此API运行的内存空间所属的进程ID,但是通过使用STARTUPINFOEX结构体,并传入修改后的进程信息列表(LPPROC_THREAD_ATTRIBUTE_LIST )来修改待创建进程的父进程。实现思路为首先创建一个进程的LPPROC_THREAD_ATTRIBUTE_LIST,然后修改父进程PID,最后将相关信息传入CreateProcess完成父进程欺骗(需要有)。核心代码如下(代码可从此处下载:http://www.didierstevens.com/files/software/SelectMyParent_v0_0_0_1.zip):

在这里插入图片描述

看一下效果:

在这里插入图片描述

同形异义字

同形异义字是指字符的形状近似但却不是同一个字,unicode编码可以表示的字符数量庞大,其中不乏一些形状相近的,利用这些字符就可以在操作系统中创建一个文件名与正常文件名十分相似的恶意文件。我经给整理部分效果比较好的形近字写成了一个脚本(https://github.com/hl0rey/evilchar),利用该脚本可以达到如下效果(只看文件名的话已经很难分辨哪个是正常的文件了):

在这里插入图片描述

在这里插入图片描述

总结

把三种手法灵活使用,也许能让我们的后门在用户机器中潜伏更长的时间。

hl0rey
关注
进程伪装技术
Think88666的博客
10-11 1105
本文相关的技术是在应用实现的,且没有使用hook之类的技术,但实现了全局的伪装,也就是任意的进程调用相关API所得到的目标进程信息都是伪造的数据。
ring3伪装进程名绕过HS 部分Inline hook (by 小枫)
OSReact的专栏
07-12 3591
以前有人发过类似文章(或者说我抄袭了吧。),但是那个代码我测试了已经不能用了。貌似MFC上也会出错。这里我的代码可以在mfc上使用。 此方法不需注入就读写Hackshield的进程地址空间数据,以及其它API的Detour Hook。【不能用于过保护。】 HS白名单可用伪装进程列表, 代码: 1. Name: patcher.exe 2. Name: WerFault.exe
WIN下 修改,伪装进程路径。支持XP,WIN7 WIN764
08-25
代码完全远程。 可以在XP WIN7 WIN764 WIN2003 等操作系统上成功实现修改进程路径。 已经封装成类,使用及其方便。 部分代码: 头文件: #ifndef ModifyProcessPath_h__ #define ModifyProcessPath_h__ // 结构定义 typedef struct _PROCESS_BASIC_INFORMATION { DWORD ExitStatus; ULONG PebBaseAddress; ULONG AffinityMask; LONG BasePriority; ULONG UniqueProcessId; ULONG InheritedFromUniqueProcessId; } PROCESS_BASIC_INFORMATION, *PPROCESS_BASIC_INFORMATION; // API声明 typedef LONG (__stdcall *PZWQUERYINFORMATIONPROCESS) ( HANDLE ProcessHandle, ULONG ProcessInformationClass, PVOID ProcessInformation, ULONG ProcessInformationLength, PULONG ReturnLength ); class CModifyProcessPath { public: CModifyProcessPath(); BOOL Create(); BOOL ModifyProcessPath(LPCTSTR szPath); BOOL CamouflageExplorerPath(); }; #endif // ModifyProcessPath_h__ CPP部分代码: #include "StdAfx.h" #include "ModifyProcessPath.h" namespace MODIFY_PROCESS { wchar_t m_szModulePath[MAX_PATH]; DWORD dwGetModuleFileNameWAddress; DWORD dwModuleBaseAddress; //E9 (目标地址-当前地址 - 5) #pragma pack(1) typedef struct _JMPCODE { BYTE bJmp; DWORD dwAddr; }JMPCODE,*LPJMPCODE; #pragma pack() DWORD WINAPI MGetModuleFileNameW(HMODULE hModule,wchar_t * lpFilename,DWORD nSize); }; using namespace MODIFY_PROCESS; // 为了不影响在进程内使用 GetModuleFileNameW ,故hook之,返回正确的路径。 DWORD WINAPI MODIFY_PROCESS::MGetModuleFileNameW(HMODULE hModule,wchar_t * lpFilename,DWORD nSize) { typedef DWORD(WINAPI *MGetModuleFileNameWT)(HMODULE,LPWCH,DWORD); MGetModuleFileNameWT pMGetModuleFileNameW; pMGetModuleFileNameW = (MGetModuleFileNameWT)dwGetModuleFileNameWAddress; if(hModule == NULL || hModule ==(HMODULE)MODIFY_PROCESS::dwModuleBaseAddress) { StringCbCopyW(lpFilename,nSize,m_szModulePath); return wcslen(m_szModulePath); } return pMGetModuleFileNameW(hModule,lpFilename,nSize); } CModifyProcessPath::CModifyProcessPath() { } BOOL CModifyProcessPath::Create() { ZeroMemory(MODIFY_PROCESS::m_szModulePath,sizeof(MODIFY_PROCESS::m_szModulePath)); MODIFY_PROCESS::dwGet
驱动伪装进程防游戏检测技术
hzw320的博客
02-11 706
伪装成一些常规的软件进程进程信息,就可以躲避掉游戏检测进程方面的特征来防封了
【渗透测试】初探进程伪装
HBohan的博客
11-03 735
前言 当我们获取到一台主机的权限过后,拿到了自己想要搜集的信息,这时候我们就会留一个后门进行权限维持,权限维持的学问其实很深,今天就主要介绍其中一种比较简单的权限维持的方法 – 进程伪装。 我们知道在windows里面有很多系统进程,如winlogon.exe、explorer.exe、services.exe等等,这些exe都是Windows必须具有的exe,当缺失某些exe的时候,windows就不能够正常运行,所以我们如果想到实现进程伪装,最好的选择就是伪装成系统必备的exe,当我们进行进程伪装之后,
伪装线程进程
08-08
可以伪装现成进程
进程伪装实现将进程伪装成任意程序
yeanhoo的博客
09-24 7185
进程伪装 修改指定进程环境块中的进程路径以及命令行信息,从而达到进程 伪装的效果。 获取进程的句柄 内联汇编获取peb 修改命令行和imagepath #include<windows.h> #include<winternl.h> BOOL DisguiseProcess(wchar_t *lpwszPath, wchar_t *lpwszCmd); int main() { wchar_t *lpwszPath = L"c:\\windows\\system32\\c
SuperPid修改进程PID工具驱动级.别名.SP伪装进程工具
07-02
SuperPid修改进程PID工具界面是VB些的,底驱动是C语言写的。作者提供源代码,可惜源代码要180元....如今先拿他的成品软件用用 。还有次工具 别名为 "SP伪装进程"。说白了和 他之前的SuperHide差不多,只是SuperPid 进程名不隐藏,只修改了进程PID,导致一个空壳进程
完整word版Windows内存隐藏技术初探(1).doc
最新发布
07-23
实施内存隐藏技术时,需要对目标进程进行Hook,并在驱动面上实现内存伪装。这意味着需要将目标代码复制到预定的地址并保存原始代码内容,通过操作DTLB和ITLB,使得对这些页面的访问通过TLB中存储的内容来实现。...
三级信息安全技术 知识点总结
九琼的博客
03-26 1180
50单选(可能会有2分)+20填空+综合约20空(可能会有2分)知识点肯定不全,只刷了三套卷整理出来,不过实际考试时感觉这些大约覆盖了实际考题内容的60-70%,还有不少认真读题就能选对的送分题。
程序伪装
10-15
最新 程序伪装
修改、伪装进程路径。支持XP,WIN7 WIN764
03-29
windows下 修改,伪装进程路径。支持XP,WIN7 WIN764
PEBFake:PEBFake(修改PEB 伪装当前进程路径、参数等)
05-27
Fake process imagepath and name BTW 当然你可以去修改其他进程的PEB信息,参考: 测试效果
一款十分强大得进程隐藏工具
03-02
一款小巧得进程隐藏工具.非常强大,希望大家收藏下载
Windows 7与XP打印机共享问题快速解决】:全面故障排查及权威解决方案
本文对Windows 7和XP系统下打印机共享问题进行了全面分析。首先介绍了共享打印机的理论基础,包括网络打印共享原理、配置要求以及安全性和权限设置。其次,本文详细探讨了打印机共享故障的排查方法,包括准备工作、...
反蜜罐技术解析
在网络环境中,有一种检测方法,当连接已建立,但工具却无法与模拟邮件服务器建立连接时,这种方式能够识别出大多数无效代理和蜜罐,且方法较为简单。然而,如果允许蜜罐或代理进行少量有限的出站连接,这种检测方法...
隐藏技术进程伪装
weixin_42071117的博客
10-16 1807
// 简单的进程伪装就是修改进程名称,比如svchost.exe、services.exe等系统进程。 // 高级的进程伪装就是修改进程的PEB数据,也就是在任务管理器中看到的进程的名称、启动路径等信息。 // NtQueryInformationProcess函数 // 作用:获取指定进程的信息。 // 原型:NSTATUS WINAPI NtQueryInformationProcess( // _In_ HANLDE hProcess; // _In_ PROCESSIN
VB实现Ring3进程隐藏技术指南
标签“进程隐藏 ring3”再次强调了本主题的主要范畴,即在Ring3面上实现进程隐藏的技术。使用这些标签有助于快速定位到相关的文档、讨论或者代码实现。 #### 压缩包子文件的文件名称列表 文件列表中的“Ring3...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值