运行期修改可执行文件的路径和Command Line

最新推荐文章于 2025-05-15 21:00:58 发布
最新推荐文章于 2025-05-15 21:00:58 发布
阅读量1.1k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 编程技术 文章标签: command path null system basic thread
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/NetRoc/article/details/3627685
本文介绍如何在运行期间修改可执行文件的路径及命令行参数,通过修改PEB和EPROCESS结构来欺骗安全软件的检测机制。讨论了利用NtQueryInformationProcess和IoCtrl接口实现的具体方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

运行期修改可执行文件的路径和Command Line

 

 

NetRoc

http://www.DbgTech.net/

目前的很多主动防御工具和反XX系统,在对特定进程进行保护的时候,出于兼容性的考虑,都会保留一些白名单。特别是一些系统进程,例如csrss.exesvchost.exe等等。而针对这些系统进程,判断是否在白名单中的方式,为了简便起见经常采用取系统路径、可执行文件名的方式。

内核中比较明显的能够取到可执行文件路径的方法有下面几个:

1、              通过PEB. ProcessParameters -> ImagePathName取得可执行文件路径,通过PEB. ProcessParameters -> CommandLine取得执行的命令行,以及PEB. ProcessParameters里面其他几个成员取得其他一些相关的路径信息。

2、              通过nt!_EPROCESSImageFileName取得。

3、              通过nt!_EPROCESS:: SeAuditProcessCreationInfo:: ImageFileName取得。

4、              通过和_EPROCESS相关的文件对象信息取得。

常见的方式一般只有12两种。而上述的前三种方式都可以在运行时被修改掉,用来进行欺骗。特别是PEB里面的信息由于在ring3直接就可以访问,实现上来说非常简单。

下面这段代码通过NtQueryInformationProcess拿到PEB,然后修改路径信息:

HMODULE hMod = GetModuleHandle( _T( "ntdll.dll"));

         pfnNtQueryInformationProcess p = (pfnNtQueryInformationProcess)::GetProcAddress( hMod, "NtQueryInformationProcess");

        

         PROCESS_BASIC_INFORMATION stInfo = {0};

         DWORD dwRetnLen = 0;

         DWORD dw = p( GetCurrentProcess(), ProcessBasicInformation, &stInfo, sizeof(stInfo), &dwRetnLen);

        

         PPEB pPeb = stInfo.PebBaseAddress;

 

         WCHAR wszFullPath[MAX_PATH] = {0};

         WCHAR wszTmp2[MAX_PATH] = {0};

         wcscpy( wszFullPath, wszPath);

         MultiByteToWideChar( CP_THREAD_ACP, 0, szName, -1, wszTmp2, MAX_PATH);

         wcscat( wszFullPath, wszTmp2);

        

         wcscpy( pPeb->ProcessParameters->ImagePathName.Buffer, wszFullPath);

         pPeb->ProcessParameters->ImagePathName.Length = wcslen( wszFullPath) * sizeof(WCHAR);

        

         int nParamStart = 0;

         WCHAR *wszTmp = new WCHAR[pPeb->ProcessParameters->CommandLine.MaximumLength];

         ZeroMemory( wszTmp, sizeof(WCHAR) * pPeb->ProcessParameters->CommandLine.MaximumLength);

        

         wcscpy( wszTmp, pPeb->ProcessParameters->CommandLine.Buffer);

        

         if ( pPeb->ProcessParameters->CommandLine.Buffer[0] == '"')

         {

                   for ( int i = 1; i < pPeb->ProcessParameters->CommandLine.Length / 2; i++)

                   {

                            if ( pPeb->ProcessParameters->CommandLine.Buffer[i] == '"')

                            {

                                     nParamStart = i;

                            }

                   }

         }

        

         if ( nParamStart != 0)

         {

                   if ( pPeb->ProcessParameters->CommandLine.Buffer[0] == '"')

                   {

                            pPeb->ProcessParameters->CommandLine.Buffer[0] = NULL;

                            wcscat( pPeb->ProcessParameters->CommandLine.Buffer, L"/"");

                   }

                   else

                   {

                            pPeb->ProcessParameters->CommandLine.Buffer[0] = NULL;

                   }

                   wcscat( pPeb->ProcessParameters->CommandLine.Buffer, wszFullPath);

                   wcscat( pPeb->ProcessParameters->CommandLine.Buffer, wszTmp + nParamStart);

         }

         delete[] wszTmp;

这个方式可以欺骗通过toolhelp函数枚举出来的模块路径,以及直接读取PEB获取进程主模块路径的方式。

另外,通过修改EPROCESS中的主模块名信息,可以欺骗一些在驱动层的程序。基本的代码如下:

首先需要获取EPROCESS里面ImageFileName的偏移。这个函数必须在DriverEntry里面调用。

ULONG GetNameOffsetInEProcss()

{

         PEPROCESS pProcess = NULL;

         ULONG i = 0;

 

         pProcess = PsGetCurrentProcess();

         for ( i = 0; i < 0x1000; i++)

         {

                   if ( strncmp( "System", (PUCHAR)pProcess + i, strlen("System")) == 0)

                   {

                            return i;

                   }

         }

         return 0;

}

然后可以在IoCtrl里面修改当前进程的名字:

case IOCTL_CHANGE_EXENAME:

                            szName = (char*)Irp->AssociatedIrp.SystemBuffer;

                            if ( !szName)

                            {

                                     ntStatus = STATUS_UNSUCCESSFUL;

                                     break;

                            }

                            pEProcess = PsGetCurrentProcess();

                            strncpy( (PCHAR)pEProcess + g_NameOffsetInEProcess, szName, 16);

                            ntStatus = STATUS_SUCCESS;

                            break;

由于只是示例,所以只实现了良种方式。修改SeAuditProcessCreationInfo里面的信息,考虑到兼容性问题,可能稍微复杂一点。不过也可以比较容易的实现。

这种方式的伪装可以穿过多少主动防御工具没有试过,大家可以去看看,哈哈。

至于对付的方式,可以通过上面说的第四种取进程路径的方法。不过就比较复杂了,呵呵。

流程就是,通过EPROCESSSectionObject获得文件的FilePointer,通过ObQueryNameString取得这个对象的名字。然后就可以取得主映像模块的路径了。详细的代码可以参考wrkNtQueryInformationProcess的相关实现。

下面是实现代码:

ImgPathChanger.rar

路径规划】强化学习Q-Learing栅格地图路径规划【含Malab源码 2720期】
订阅付费专栏Matlab(奶茶价版),可赠送奶茶价版付费专栏指定代码1份;
06-22 706
强化学习Q-Learing栅格地图路径规划 完整的代码,方可运行;可提供运行操作视频!适合小白!
路径规划】基于matlab强化学习Q-Learing栅格地图路径规划【含Malab源码 2720期】
订阅付费专栏Matlab(奶茶价版),可赠送奶茶价版付费专栏指定代码1份;
10-11 739
强化学习Q-Learing栅格地图路径规划 完整代码,包运行;可提供运行操作视频!适合小白!
修改活动进程链隐藏进程
Puzzle的专栏
06-25 1806
如何修改活动进程链来隐藏进程?通过PsGetCurrentProcess函数可以获取当前线程的EPROCESS,反汇编这个函数的话可以看到这个内核函数只有三行: mov eax, fs:0x00000124; mov eax, [eax + 0x44]; ret Windows中有一个叫Kernel's Processor Control Block (KPRCB),核心处理控制块的结
修改、伪装进程路径。支持XP,WIN7 WIN764
03-29
windows下 修改,伪装进程路径。支持XP,WIN7 WIN764
Ubuntu修改/proc/cmdline
photon222的博客
04-01 8136
How to edit /proc/cmdline /proc/cmdline是系统文件,不能直接修改,可通过如下方式修改 修改/etc/default/grub sudo vim /etc/default/grub and add the two lines below in the file: GRUB_CMDLINE_LINUX_DEFAULT=‘console=tty0 console...
【旧文章搬运】获取并修改PEB中的映像路径,命令行当前目录
weixin_30709929的博客
12-26 364
原文发表于百度空间,2008-7-24 当时对UNICODE_STRING的使用还有点问题,导致最终效果图中字符串被截断了========================================================================== 先从分析PEB开始吧.感觉分析这个东西,首先要把类型定义搞清楚,这个在Windbg里dt _PEB就可以了搞清楚定义主要是为...
Win64 驱动内核编程-7.内核里操作进程
天使也掉毛
03-05 4820
在内核里操作进程     在内核里操作进程,相信是很多对 WINDOWS 内核编程感兴趣的朋友第一个学习的知识点。但在这里,我要让大家失望了,在内核里操作进程没什么特别的,就标准方法而言,还是调用那几个进程相关的 NATIVE API 而已(当然了,本文所说的进程操作,还包括对线程 DLL 模块的操作)。本文包括 10 个部分:分别是:枚举进程、暂停进程、恢复进程、结束进程、枚举线程、暂停线
linux下qt运行QCefView demo报错,如何解决??
**My Coding Family**
10-26 1047
通过以上步骤,你应该能够逐步排查并解决QCefView demo在Linux下运行时遇到的问题。重点在于确保所有必要的资源文件共享库都位于正确的位置,并且系统能够正确加载这些文件。同时,禁用GPU加速可能会绕过一些与图形驱动相关的问题。确保环境变量路径配置正确,以及QCefView与Qt版本的兼容性,也是成功运行的关键。如果问题仍然存在,建议查阅QCefView的官方文档或在其GitHub仓库提交Issue,寻求更具体的帮助。希望如上措施及解决方案能够帮到有需要的你。
鸿蒙模拟器提示缺少WMIC 无法运行模拟器,如何解决?
**My Coding Family**
05-15 1036
🏆 本文收录于《全栈Bug调优(实战版)》专栏,致力于分享我在项目实战过程中遇到的各类Bug及其原因,并提供切实有效的解决方案。无论你是初学者还是经验丰富的开发者,本文将为你指引出一条更高效的Bug修复之路,助你早日登顶,迈向财富自由的梦想🚀!同时,欢迎大家关注、收藏、订阅本专栏,更多精彩内容正在持续更新中。让我们一起进步,Up!Up!Up!    备注: 部分问题/难题源自互联网,经过精心筛选整理,结合数位十多年大厂实战经验资深大佬经验总结所得,数条可行方案供所需之人参考。
路径规划】基于matlab GUI A_star算法最短路径规划【含Matlab源码 633期】
订阅付费专栏Matlab(奶茶价版),可赠送奶茶价版付费专栏指定代码1份;
03-26 984
A_star算法最短路径规划 完整的代码,方可运行;可提供运行操作视频!适合小白!
64位CreateProcess逆向:(二)0环下参数的整合即创建进程的整体流程
07-04 768
转载:https://bbs.pediy.com/thread-207683.htm 点击下面进入总目录: 64位Windows创建64位进程逆向分析(总目录) 在上一篇文章中,我们介绍了CreateProcess在3环的整个流程。在其中特别提到,当操作系统由3环切换到0环,是由NtCreateUserProcess完成所有关键工作的。 在这篇文章中,我们将会...
彻底改掉进程名
xinew的专栏
12-08 3175
写了个改进程名的东西,跟大家分享!技术含量不高,大牛飘过。 先总结一下,一个进程的名字有可能从以下部位获取(参考小伟同学的《伪造进程初探》一文): 一、EPROCESS中:     1、EPROCESS-->ImageFileName(很常用,冰刃获取进程名的地方)     2、EPROCESS-->SeAuditProcessCreationInfo->ImageFileName(任务管理器获取
[Rootkit] - 修改 EPROCESS 隐藏进程
LYSM
08-20 1186
背景 EPROCESS 中有两个成员 UniqueProcessId // 唯一的pid InheritedFromUniqueProcessId // 唯一父进程pid 效果图
perl对目录的操作
oligaga的博客
11-23 624
perl对目录的操作
【argue】进程参数欺骗
dr0op's blog
05-20 821
进程参数欺骗原理 我们了解到利用argue进程参数欺骗可以在一定程度上绕过杀软拦截。它的原理是怎样的? 首先我们可以了解到,在一个进程运行后,它的运行参数是保存在进程空间的。如果我们获取到保存参数的进程内存地址,并将参数进行修改修改并不影响原始的参数功能,因为在修改之前已经被启动了)那么就可以达到“欺骗”杀软,达到不被拦截的目的。至于参数保存在进程空间的哪里,如何去获取就是接下来要讨论的。 PEB进程环境块 PEB进程环境块中存放进程相关的一些信息,而我们需要的commandline就保存在PEB里。与P
Win10下的_EPROCESS结构记录
WorryFree
11-30 2933
kd> dt _EPROCESS ntdll!_EPROCESS +0x000 Pcb : _KPROCESS 内嵌的内核层进程结构体 +0x2e0 ProcessLock : _EX_PUSH_LOCK 自旋锁 用于保护EPROCESS数据成员的同步 +0x2e8 UniqueProcessId : Ptr64 Void 进程的唯一PID +0x2f0 ActiveProcessLinks :
EPROCESS取进程全路径(xp)
SomeTimes
02-08 1824
上一篇文章在xp下取路径太麻烦 既然规定在了xp系统下,为什么不硬编码呢? 好吧,走起~~~
为什么我的CommandLineRunner 不 run ?
he_xiao123的博客
01-05 6218
作者:jwenjian 链接:https://juejin.im/post/5e6205b651882549215ce3a9 来源:掘金 Springboot 工程中通常都有几个 CommandLineRunner 的实现类,用来在程序启动之后干点什么。但如果使用不当,可能就会发现有的 Runner 在程序启动之后执行了,有的却没有执行,更奇怪的是程序也没有报错。原因就是... 先看现象 假设一个工程中需要用到 3 个 CommandLineRunner, 其中 2 个 runner 需..
在命令行导入备份的SQL文件
最新发布
07-23
<think>首先,用户的问题是关于如何在命令行导入备份的SQL文件。用户询问:"how to import a SQL backup file using command line"。我需要用中文回答,因为系统指令要求使用中文回答。 系统指令: - 所有行内数学表达式必须使用$...$格式。 - 独立公式使用$$...$$格式。 - LaTeX语法正确。 - 使用中文回答。 - 生成相关问题。 - 回答中引用的段落末尾自然地添加引用标识,例如[^1]。 用户的问题是关于SQL备份文件的导入,所以我需要参考提供的引用。引用是关于数据库备份的,特别是Oracle、SQL ServerSQLite。 引用内容: - [^1]:关于Oracle导出,是逻辑备份。 - [^2]:关于导出时使用新数据库名。 - [^3]:SQL Server的.BAK文件是Microsoft Tape Format。 - [^4]:SQLite的命令行使用,包括如何输入SQL命令。 用户的问题是关于导入SQL备份文件,所以我需要提供命令行导入的方法。由于SQL文件类型可能不同,我应该针对不同的数据库系统提供指导。 用户没有指定具体的数据库系统,所以我会覆盖常见的: - MySQL - PostgreSQL - SQLite - Oracle - SQL Server 从引用中,我们有信息: - 对于SQLite,引用[^4]提到命令行使用sqlite3程序,需要以分号结束SQL命令。 - 对于Oracle,引用[^1][^2]讨论导出,但导入可能需要使用imp或impdp工具。 - 对于SQL Server,引用[^3]提到.BAK文件,导入可能需要SQL Server Management Studio或命令行工具如sqlcmd。 用户说"SQL backup file",这通常是一个.sql文件,包含SQL语句,或者是特定格式的备份文件如.bak。 我需要提供一般指导: 1. 对于.sql文件(包含SQL语句),可以使用数据库的命令行客户端。 2. 对于专有格式如Oracle的exp文件或SQL Server的.bak,需要特定工具。 回答结构: - 结构清晰,逐步解决问题。 - 使用中文。 - 在末尾生成相关问题。 - 添加引用标识如果引用内容。 步骤: 1. 介绍一般方法。 2. 针对不同数据库系统提供具体命令。 3. 确保真实可靠。 4. 在末尾生成相关问题。 生成相关问题: - 如示例中所示,列出几个相关问题。 现在,构建回答。 首先,标题或开头:如何通过命令行导入SQL备份文件 然后,解释: SQL备份文件通常有两种类型:纯SQL脚本文件(如.sql)数据库特定的二进制备份文件(如.bak)。导入方法取决于文件类型目标数据库系统。 逐步指导: 1. 对于纯SQL脚本文件(.sql): - 可以使用数据库的命令行客户端来执行SQL文件。 - 例如,对于MySQL:mysql -u username -p database_name < backup.sql - 对于PostgreSQL:psql -U username -d database_name -f backup.sql - 对于SQLite:sqlite3 database.db < backup.sql 2. 对于特定格式的备份文件: - 需要数据库提供的工具。 - 例如,Oracle使用imp或impdp。 - SQL Server使用sqlcmd或RESTORE DATABASE命令。 参考引用: - 对于SQLite,引用[^4]提到sqlite3命令行工具,需要确保SQL命令以分号结束[^4]。 - 对于Oracle,引用[^1][^2]讨论导出,但导入类似,使用imp工具[^1][^2]。 - 对于SQL Server,引用[^3]提到.BAK文件格式[^3]。 确保回答完整。 最终回答结构: - 开头解释。 - 分步方法。 - 具体示例。 - 注意事项。 - 相关问题。 使用中文。</think>### 如何通过命令行导入SQL备份文件 在数据库管理中,导入SQL备份文件是一个常见任务。备份文件通常分为两类:**纯SQL脚本文件**(如`.sql`文件,包含可执行的SQL语句)**数据库特定二进制备份文件**(如Oracle的`.dmp`、SQL Server的`.bak`)。导入方法取决于文件类型目标数据库系统。下面我将一步步解释如何在命令行中操作,确保过程可靠。操作前,请确保已安装对应数据库的命令行工具,并备份现有数据以防意外。 #### 1. **导入纯SQL脚本文件(.sql)** 这类文件包含SQL语句(如CREATE TABLE、INSERT等),可直接通过数据库命令行客户端执行。以下针对常见数据库系统: - **MySQL / MariaDB**: - 使用`mysql`命令行工具。 - 命令格式:`mysql -u 用户名 -p 数据库名 < 备份文件.sql` - 示例:导入`backup.sql`到数据库`mydb`: ```bash mysql -u root -p mydb < /path/to/backup.sql ``` - 系统会提示输入密码。确保备份文件中的SQL语法正确,否则导入可能失败。 - **PostgreSQL**: - 使用`psql`命令行工具。 - 命令格式:`psql -U 用户名 -d 数据库名 -f 备份文件.sql` - 示例:导入`backup.sql`到数据库`mydb`: ```bash psql -U postgres -d mydb -f /path/to/backup.sql ``` - 如果数据库需要密码,添加`-W`参数提示输入。 - **SQLite**: - 使用`sqlite3`命令行工具。 - 命令格式:`sqlite3 数据库文件.db < 备份文件.sql` - 示例:导入`backup.sql`到数据库文件`mydb.db`: ```bash sqlite3 mydb.db < /path/to/backup.sql ``` - 注意:SQL命令必须以分号结束,否则`sqlite3`会等待继续输入[^4]。如果备份文件跨多行,确保语法完整。 - **通用提示**: - 如果备份文件包含数据库创建语句,可省略数据库名(如MySQL中先创建空数据库)。 - 导入大型文件时,添加超时参数(如MySQL的`--max_allowed_packet`)避免中断。 #### 2. **导入数据库特定二进制备份文件** 这类文件是专有格式,需使用数据库提供的工具还原。方法如下: - **Oracle Database**: - 使用`imp`(旧版)或`impdp`(新版Data Pump)工具。 - 命令格式:`imp 用户名/密码@服务名 file=备份文件.dmp full=y` - 示例:导入`backup.dmp`到Oracle实例: ```bash imp system/password@orcl file=/path/to/backup.dmp full=y ``` - 注意:Oracle导入是逻辑备份还原,需确保目标数据库服务已启动[^1]。导出时可指定新数据库名,但导入前需手动创建空数据库[^2]。 - **SQL Server**: - 使用`sqlcmd`命令行工具或`RESTORE DATABASE`命令。 - 方法1:通过`sqlcmd`执行SQL脚本(如果备份是.sql文件): ```bash sqlcmd -S 服务器名 -U 用户名 -P 密码 -d 数据库名 -i 备份文件.sql ``` - 方法2:对于`.bak`文件(物理备份),需在SQL Server Management Studio (SSMS) 或命令行中还原: - 先启动`sqlcmd`: ```bash sqlcmd -S localhost -U sa -P your_password ``` - 然后执行还原命令: ```sql RESTORE DATABASE mydb FROM DISK = '/path/to/backup.bak'; GO ``` - `.bak`文件使用Microsoft Tape Format (MTF),需SQL Server服务运行[^3]。 - **注意事项**: - 权限问题:确保命令行工具以管理员或数据库所有者权限运行。 - 文件路径:使用绝对路径避免错误。 - 错误处理:导入失败时,检查日志(如MySQL的error log)或添加`-v`参数(如`psql`)获取详细输出。 - 性能:大型文件导入可能耗时,建议在低峰期操作。 #### 3. **常见问题解决** - **导入失败如何处理?** - 检查备份文件完整性(如用`file`命令验证格式)。 - 确保数据库版本兼容(例如,MySQL 8.0可能不兼容5.7的备份)。 - 如果SQL脚本错误,手动编辑文件修复语法。 - **导入后数据不一致?** - 执行验证命令,如MySQL的`CHECK TABLE`。 - 在事务中导入(如PostgreSQL的`BEGIN; ... COMMIT;`)确保原子性。 通过以上步骤,您可以在命令行高效导入SQL备份文件。操作时,请参考数据库官方文档以适配您的环境。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值