进程欺骗实践

父进程PID欺骗项目介绍与实践
最新推荐文章于 2022-04-05 12:47:20 发布
原创 最新推荐文章于 2022-04-05 12:47:20 发布 · 696 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

该博客介绍了一个监控父子进程关系以检测恶意活动的项目。当EDR能检测异常活动时,红队可采用父进程PID欺骗逃避。Windows API的“CreateProcess”可指定父进程。给出项目地址,还介绍了实践测试步骤,最后列出参考资料。

项目介绍

监控父进程和子进程之间的关系是威胁检测团队检测恶意活动的常用技术,例如,如果powershell是子进程,而Microsoft Word是父进程,这是一种折中的行为,各种EDR可以很容易地检测到这种异常活动,这时红队可以考虑使用父进程PID欺骗作为逃避方法,Windows API调用"CreateProcess"允许用户传入一个用于分配父PID的参数,它可以用于指定当前进程的父进程。

项目地址

https://github.com/Al1ex/SelectMyParent

实践测试

Step 1:选择父进程并确定其PID

Step 2:之后执行以下命令进行父进程欺骗

SelectMyParent.exe notepad 928

Step 3:使用process Explor查看进程树,可以看到成功欺骗

Reference

https://pentestlab.blog/2020/02/24/parent-pid-spoofing/

https://ired.team/offensive-security/defense-evasion/parent-process-id-ppid-spoofing

 

 

 

隐藏进程与通信技术:原理揭秘、实践应用与防御策略
Kali与编程
05-02 499
Stuxnet通过利用零日漏洞注入系统进程,并借助数字签名和双PLC模块混淆视听,同时,其通信数据通过互联网加密传输,确保了其高度隐蔽性,使得这款恶意软件在很长一段时间内未被发现。总之,隐藏进程与通信技术是恶意软件逃避检测和执行恶意行为的重要手段,正确认识并有效应对这些技术,对于提高网络系统的安全防护水平至关重要。定期系统审计与更新:定期进行系统和软件的安全审计,及时更新系统补丁和软件版本,消除已知的漏洞,防止恶意软件利用这些漏洞进行隐藏进程和通信。隐藏进程与通信技术:原理揭秘、实践应用与防御策略。
精选资源
易语言-易语言驱动级进程信息伪装源码 只支持 64位系统
06-25
驱动级进程信息伪装技术是一种高级的系统编程技术,它允许程序模拟或改变其他进程的信息,如进程ID、进程名称等,从而达到隐藏自身或欺骗系统的目的。在网络安全领域,这种技术有时被用于恶意软件以逃避检测,但在...
php-process
03-29
关于低版本PHP资源离线安装包,如果安装不成功,需要全部强制安装 php-5.3.3-50.el6_10.x86_64.rpm php-cli-5.3.3-50.el6_10.x86_64.rpm php-common-5.3.3-50.el6_10.x86_64.rpm php-gd-5.3.3-50.el6_10.x86_64.rpm php-ldap-5.3.3-50.el6_10.x86_64.rpm php-mysql-5.3.3-50.el6_10.x86_64.rpm php-pdo-5.3.3-50.el6_10.x86_64.rpm php-process-5.3.3-50.el6_10.x86_64.rpm php-soap-5.3.3-50.el6_10.x86_64.rpm php-xml-5.3.3-50.el6_10.x86_64.rpm 全部安装完成后如果页面登录不了,需要修改session目录的权限
workermanDay01 安装、Worker类
坚持硬核
09-09 365
workerman 开源异步PHP socket 即时通讯框架 0x00 Workman安装 安装 libevent(php<7) 或者 Event 扩展(php >=7) step1 不论php版本,都要安装 libevent 库: yum install libevent-devel -y step2 安装 Event扩展 pecl.php.net wget https://pecl.php.net/get/event-2.4.3.tgz 解压: tar xf event-
VBS命令-进程操作代码(检测进程, 结束进程)
热门推荐
我是guyue,guyue就是我O(∩_∩)O
06-27 1万+
//检测进程 进程名 = "qq.exe" 返回值 = IsProcess(进程名) If 返回值 = True Then     MessageBox "发现进程" ElseIf 返回值 = False Then     MessageBox "没有发现进程" End If //检测进程 优化后的代码 If IsProcess("qq
python3.8 进程池 多进程的实现 加速程序运行
USADA
08-28 4714
进程池 我们使用multiprocessing库下的Pool开启多进程 multiprocessing是python3内置的,不需要下载安装,直接导入即可 我们写个简单的实例,来展示到底为什么要使用多进程,以及多进程有哪些作用 让我们使用进程的第一种情况观察 阻塞 from time import sleep from multiprocessing import Pool import os # 引入os库的作用是为了获取子进程的ID,让我们更直观查看进程的进度 def pid():
关闭VBS进程
12-19
一个关闭正在运行的VBS文件的脚本,很实用,可以用来对付一些VBS病毒!
Antidote:开源ARP欺骗检测守护进程
“antidote-开源”是一款专注于网络安全领域的开源工具,其核心功能是检测局域网中的ARP欺骗攻击(也称为ARP中毒),并以守护进程的方式持续运行,实时监控网络环境,及时发现异常行为并发出安全警报。该工具的名称...
《公约》任务来源:C#实现PPID欺骗进程注入
在实际操作中,PPID欺骗的代码实现通常涉及到Windows进程管理的API,例如SetParent函数,该函数用于改变一个进程的父进程。在描述中提到的修改后的代码中,应该包含了此类API调用,并且在Execute方法中以图形方式...
网络安全中的欺骗策略:理论与实践
### 网络安全中的欺骗策略:理论与实践 在网络安全领域,欺骗策略正逐渐成为攻击者和防御者手中至关重要的工具。传统的研究往往侧重于如何让欺骗性对象看起来更真实,而忽略了将真实对象伪装成欺骗性对象以简化欺骗...
分享一个结束VBS进程的脚本
11-22
网上下载的那些无限弹出的代码,对于小白来说,不知道怎么处理;大神会打开任务管理器去结束进程,现在有了这个,可以一键关闭正在使用中的VBS脚本进程,方便快捷,一键搞定
vbs结束进程代码_借助ProcessHollowing和代码注入感染合法进程:信息窃取恶意软件FormBook分析...
weixin_39665787的博客
11-30 393
概述FormBook是一个信息窃取类型的恶意软件。与大多数其他信息窃取类恶意软件一样,它在部署到受害者的计算机上时,会执行许多操作来逃避反病毒厂商产品的检测。当然,正如我们在Ursnif、Hancitor、Dridex和其他木马中看到的那样,有许多变种可以通过多种方式接收Payload。在过去的一年中,威胁行为者最常用的分发FormBook恶意软件的方法是借助恶意钓鱼邮件并利用CVE-...
【无标题】VBScript结束进程
饭特稀 的专栏
04-05 1207
dim qobj,pipe,good do good="." set qobj=getobject("winmgmts:\\"&good&"\root\cimv2") set pipe=qobj.execquery("select * from win32_process where name='notepad.exe'") for each i in pipe i.terminate() next wscript.sleep 120000 loop 把以上代码保存为Endprocess.
php-process,GitHub - soliphp/process: Simple multi-process manager for PHP, based on pcntl and posix...
weixin_29973493的博客
03-25 245
Soli Process基于 pcntl 和 posix 扩展,简单的 PHP 多进程管理类库。依赖Unix-likePHP 5.0+ext-pcntlext-posix注:信号处理部分需要 PHP 7.1+安装使用 composer 进行安装:composer require soliphp/process快速使用use Soli\Process;include __DIR__ . "/vend...
android fork 子进程,fork子进程
weixin_35745604的博客
05-29 1570
title: fork子进程data: 2019/3/21 20:24:39toc: true这里实在学习socket编程前的小知识点,用来创建多个服务端学习文档速记fork并不保证父子进程的执行顺序,会存在父进程先比子进程结束,这个时候子进程的就可能由系统进程1( PID为 1 的 init)接管子进程返回 0父进程返回子进程进程号 (PID)粗浅的理解就是fork之后创建了一个一模一样的上下...
vbs结束进程代码_vbs程序杀死某个进程
weixin_39986169的博客
12-12 1244
deleteProgram.vbs程序:dim qobj,pipe,good do good="." set qobj=getobject("winmgmts:"&good&"rootcimv2") set pipe=qobj.execquery("select * from win32_process where name='Everything.exe'") for each ...
vbs强制关闭程序
阿鑫的家
07-28 4973
sub Close_Process(ProcessName)On Error Resume Next     for each ps in getobject("winmgmts://./root/cimv2:win32_process").instances_  循环进程           if Ucase(ps.name)=Ucase(ProcessName)  then  关闭QQ,也
tensorflow gpu_多GPU,具有Tensorflow的多进程
weixin_39639568的博客
11-25 576
作者 |GrégoireDelétang来源|Medium编辑|代码医生团队Tensorflow是实验深度学习算法的绝佳工具。但是要利用深度学习的力量,需要利用计算能力和良好的工程技术。最终需要使用多个GPU,甚至可能需要多个流程才能实现目标。建议先阅读TensorFlow关于GPU 的官方教程。https://www.tensorflow.org/guide/using_gp...
VBScript 监控并结束指定进程的代码
转角遇到她的专栏
09-02 2714
需要监控一些进程,防止一些进程的开启,发现指定进程运行就关闭它。 代码(monprocess.vbs): On Error Resume Next strComputer = "." arrTargetProcs = Array("calc.exe", "notepad.exe", "other.exe") '数组里为要监视的进程名 Set SINK = WScript.CreateObjec
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值