Windows 父进程欺骗技术

最新推荐文章于 2024-04-24 18:51:37 发布
最新推荐文章于 2024-04-24 18:51:37 发布
阅读量2k 收藏 4
点赞数
分类专栏: C++ windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/linlin003/article/details/108864860
版权

Windows 父进程欺骗技术,其实就是创建一个进程,指定其他进程为这个新创建进程的父进程。

通过CreateProcessA进行欺骗
对父进程进行欺骗有许多方法,本文中着重介绍通过调用CreateProcessA函数进行实现,该方法最简单也最常用。

CreateProcessA函数允许用户创建新进程,默认情况下,会通过其继承的父进程完成创建。该函数有一个名为“lpStartupInfo”的参数,该参数允许使用者自定义要使用的父进程。该功能最初用于Windows Vista中设置UAC。

lpStartupInfo参数指向一个名为“STARTUPINFOEX”的结构体,该结构包含变量“lpAttributeList”,这个变量在初始化时可以调用“UpdateProcThreadAttribute”回调函数进行属性添加,你可以通过“PROC_THREAD_ATTRIBUTE_PARENT_PROCESS”属性从而对父进程进行设置。

一下为C++实现代码

#include "stdafx.h"
#include <iostream>
#include <Windows.h>
#include <winternl.h>
#include <psapi.h>
#include <processthreadsapi.h>

int main(int argc, char* argv[])
{
	if (argc != 3)
		return 0;

	PROCESS_INFORMATION pi = { 0 };
	STARTUPINFOEXA si = { 0 };
	SIZE_T sizeToAllocate;
	char* pEnd = NULL;
	DWORD dwParentID = strtol(argv[1], &pEnd, 10);
	char* pszPath = argv[2];

						  // Get a handle on the parent process to use
	HANDLE processHandle = OpenProcess(PROCESS_ALL_ACCESS, false, dwParentID);
	if (processHandle == NULL) 
	{
		fprintf(stderr, "OpenProcess failed\n");
		return 1;
	}

	// Initialize the process start attributes
	InitializeProcThreadAttributeList(NULL, 1, 0, &sizeToAllocate);
	// Allocate the size needed for the attribute list
	si.lpAttributeList = (LPPROC_THREAD_ATTRIBUTE_LIST)HeapAlloc(GetProcessHeap(), 0, sizeToAllocate);
	InitializeProcThreadAttributeList(si.lpAttributeList, 1, 0, &sizeToAllocate);
	// Set the PROC_THREAD_ATTRIBUTE_PARENT_PROCESS option to specify the parent process to use
	if (!UpdateProcThreadAttribute(si.lpAttributeList, 0, PROC_THREAD_ATTRIBUTE_PARENT_PROCESS,
		&processHandle, sizeof(HANDLE), NULL, NULL)) 
	{
		fprintf(stderr, "UpdateProcThreadAttribute failed");
		return 1;
	}
	si.StartupInfo.cb = sizeof(STARTUPINFOEXA);

	printf("Creating process...\n");

	BOOL success = CreateProcessA(
		NULL, // App name
		pszPath, // Command line
		NULL, // Process attributes
		NULL, // Thread attributes
		true, // Inherits handles?
		EXTENDED_STARTUPINFO_PRESENT | CREATE_NEW_CONSOLE, // Creation flags
		NULL, // Env
		NULL, // Current dir
		(LPSTARTUPINFOA)&si,
		&pi
	);

	if (!success)
	{
		printf("Error %d\n", GetLastError());
	}

	return 0;
}

测试一下效果吧,

 

参考文献:

父进程欺骗技术概述与检测

[网络安全自学篇] 九十二.《Windows黑客编程技术详解》之病毒启动技术创建进程API、突破SESSION0隔离、内存加载详解(3)
杨秀璋的专栏
07-27 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充知识点。第三篇文章主要介绍木马病毒启动技术,包括创建进程API、突破SESSION0隔离、内存加载详解,希望对您有所帮助。
Windows上电到登录:生物识别
最新发布
kingking44的博客
08-29 1346
这只是一个框架性的示例,实际的实现会复杂得多,尤其是在处理具体硬件设备、同步数据流、错误处理和安全性等方面。开发实际的 Windows Hello 兼容驱动程序需要深入的 Windows 内核开发经验,并与硬件制造商提供的 SDK 和文档配合使用。
红队技术-父进程欺骗( MITRE ATT&CK框架:T1134)
xnxqwzy的博客
09-12 241
父进程欺骗是一种访问令牌操作技术,通过将恶意文件的。
进程命令行参数欺骗
蛇矛实验室
04-24 803
一些事件记录工具会监视目标进程的创建从而记录进程创建后的一些信息,可以在创建进程的时候使用假的命令行参数进行欺骗,从而误导这些分析工具,还存在一些进程管理工具,比如 Process Hacker 会通过目标进程的 PEB 中获取进程命令行参数信息,它会根据命令行参数的长度读取命令行参数信息,只需要修改命令行参数的长度进而欺骗这些进程管理工具。在进行进程命令行参数欺骗时,注意用于欺骗的命令行参数长度(在创建挂起的进程时传递的参数)要大于真实的命令行参数长度(在运行时修改的命令行参数)。
父进程欺骗
yellow的博客
01-30 1313
如何实现父进程欺骗以及对应的检测方法。
windows父进程欺骗
Timmbe的博客
12-06 500
windows父进程欺骗 测试代码
vbs 获取当前运行脚本的父路径_检测父PID欺骗?
weixin_39553458的博客
11-19 366
用来检测异常活动的最有用的技术之一是对父子进程关系的分析,然而,技术更高明更强大的攻击者可以使用父PID(PPID)欺骗来绕过此操作,从而允许从任意父进程执行恶意进程。尽管这项技术本身并不新鲜,虽然Cobalt Strike和DidierStevens 对其进行了详细介绍,但在检测此类攻击方面进行的专门研究却很少。在本文中,我们将探讨该技术的工作原理以及防御者如何利用Windows事件跟...
MFC实现进程隐藏技术详解
1. 使用SetParent函数:在Windows中,可以通过设置进程的父窗口为一个特殊的值,使得该进程不在任务管理器中显示。这种方法可以隐藏进程,但是进程仍然存在于系统中。 2. 使用SetInformationJobObject函数:通过为...
《公约》任务来源:C#实现PPID欺骗与进程注入
在实际操作中,PPID欺骗的代码实现通常涉及到Windows进程管理的API,例如SetParent函数,该函数用于改变一个进程的父进程。在描述中提到的修改后的代码中,应该包含了此类API调用,并且在Execute方法中以图形方式...
Go4aRun:GO中的Shellcode运行程序,其中包含shellcode加密,远程进程注入,阻止dll和欺骗性的父进程
03-20
Go4aRun 用法: 在hideit.go和Go4it.go中更改用于加密的所需密码 在Go4it.go中更改行为选项 更改块dll行为:通过nonms和onlystore变量在“不允许非MS”和“仅存储”之间 更改parentName变量以更改欺骗的父级 更改programPath变量以更改由父级启动的进程,shellcode将注入该进程 更改creationFlags以更改programPath变量的启动行为 通过注释/取消注释部分CreateRemoteThread或QueueUserAPC选择一个过程注入方法 运行hideit(构建或运行)并选择原始shellcode文件 该脚本应将加密的shellcode保存在pkg / shelly中的shelly.go文件中(如果未手动移动到pkg / shelly中) 编译Go4it.go(例如:GOOS = windows GOARCH
黑帽子2017:进程隐藏与创建技术详解
这项技术利用了Windows NTFS机制和NtCreateProcessEx函数的特性,通过精心设计的参数和句柄操作,实现了父进程的指定和伪装。文档还提供了源代码,并指明了代码被修改和构建的细节,显示了这项技术的实现方式和在...
红队技术-父进程欺骗(T1134)
YJ_12340的博客
10-20 1414
攻击者广泛使用该技术进行检测规避,并增加了应急响应人员检测IoC的时间。针对许多过时的和未打补丁的EDR解决方案,可以使用此技术轻松规避检测。通过本文,告诉大家在组织中应该使用最新的EDR解决方案以及在可以捕捉此类技术的优质产品中使用智能检测功能的重要性。
进程链信任-父进程欺骗
记录学习,一起进步
02-19 727
虚假父进程免杀、提权
伪造父进程的另一种方式
Sven的忘却日记
10-31 1836
创建任意进程,父进程为explorer.exe #include "stdafx.h" #include <windows.h> #include <shlwapi.h> #include <shlobj.h> #pragma comment(lib, "shlwapi.lib") // use the shell view for the desktop...
windows黑客编程技术之隐藏技术(进程伪装,傀儡进程,进程隐藏)
weixin_44891742的博客
07-26 7207
windows黑客编程技术之隐藏技术(进程伪装,傀儡进程,进程隐藏)
红队技术-父进程伪装(MITRE ATT&CK框架:T1134)
蚁景网安学院
04-21 3742
父PID(PPID)伪装方法可以绕过 AV/EDR检测,使其认为是 lsass.exe 这样的合法进程在进行活动。它通过伪装进程的 PID 以匹配其父进程的 PID 来做到这一点。这种方法可能带来的另一个好处是,如果父进程以 SYSTEM 权限运行,则可以凭借访问令牌的继承,使其子进程也具有相同的 SYSTEM 权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Leen

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值