Process Ghosting 项目教程

Process Ghosting 项目教程

process_ghosting Process Ghosting - a PE injection technique, similar to Process Doppelgänging, but using a delete-pending file instead of a transacted file 项目地址: https://gitcode.com/gh_mirrors/pr/process_ghosting

1. 项目目录结构及介绍

process_ghosting/
├── appveyor.yml
├── CMakeLists.txt
├── LICENSE
├── README.md
├── main.cpp
├── ntddk.h
├── ntdll_types.h
├── ntdll_undoc.cpp
├── ntdll_undoc.h
├── pe_hdrs_helper.cpp
├── pe_hdrs_helper.h
├── process_env.cpp
├── process_env.h
├── util.cpp
└── util.h

目录结构介绍

• appveyor.yml: 用于CI/CD的配置文件。
• CMakeLists.txt: CMake构建系统的配置文件。
• LICENSE: 项目许可证文件，采用MIT许可证。
• README.md: 项目介绍和使用说明。
• main.cpp: 项目的主启动文件。
• ntddk.h: Windows驱动开发工具包的头文件。
• ntdll_types.h: 包含NT内核类型的头文件。
• ntdll_undoc.cpp: 包含NT内核未文档化函数的实现。
• ntdll_undoc.h: 包含NT内核未文档化函数的声明。
• pe_hdrs_helper.cpp: 处理PE文件头部的辅助函数实现。
• pe_hdrs_helper.h: 处理PE文件头部的辅助函数声明。
• process_env.cpp: 处理进程环境的函数实现。
• process_env.h: 处理进程环境的函数声明。
• util.cpp: 通用工具函数实现。
• util.h: 通用工具函数声明。

2. 项目启动文件介绍

main.cpp

main.cpp 是项目的启动文件，负责初始化和执行主要的逻辑。以下是该文件的主要功能：

• 初始化: 初始化必要的系统资源和环境。
• PE文件处理: 加载和处理PE文件，进行注入操作。
• 进程创建: 创建新进程并将PE文件注入到该进程中。

3. 项目配置文件介绍

CMakeLists.txt

CMakeLists.txt 是CMake构建系统的配置文件，用于定义项目的构建规则和依赖关系。以下是该文件的主要内容：

• 项目定义: 定义项目名称和版本。
• 源文件列表: 列出所有需要编译的源文件。
• 编译选项: 设置编译器选项和标志。
• 依赖库: 指定项目依赖的外部库。

appveyor.yml

appveyor.yml 是用于AppVeyor CI/CD服务的配置文件，用于自动化构建和测试。以下是该文件的主要内容：

• 构建环境: 定义构建环境，如操作系统版本和编译器版本。
• 构建步骤: 定义构建步骤，包括编译、测试和打包。
• 通知: 配置构建成功或失败时的通知方式。

通过以上介绍，您可以更好地理解和使用 process_ghosting 项目。

process_ghosting Process Ghosting - a PE injection technique, similar to Process Doppelgänging, but using a delete-pending file instead of a transacted file 项目地址: https://gitcode.com/gh_mirrors/pr/process_ghosting