修改程序的peb过某些防火墙

最新推荐文章于 2023-06-25 11:15:46 发布
最新推荐文章于 2023-06-25 11:15:46 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: 编程之路 文章标签: 防火墙 string struct parameters list module
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sdpdww/article/details/3847107
版权

现在自己构造数据包进行发送已经不是很现实了,简单的数据还行,如果是大的数据,比如发送一个文件,比如不停的和外界的服务器保持联系,都是很不方便的,所以找到了一个方法,就是将程序的peb修改成和某些系统进程一样的peb,这样就在一定程度上伪装成了系统进程,这里以lsass.exe为例。有关peb的资料请自己查相关资料,或者是好好看看 windows核心编程,windows程序设计。

首先声明相关的结构体

typedef void (*PPEBLOCKROUTINE)(PVOID PebLock);

typedef struct _UNICODE_STRING {
        USHORT Length;
        USHORT MaximumLength;
        PWSTR Buffer;
} UNICODE_STRING, *PUNICODE_STRING;

typedef struct _RTL_DRIVE_LETTER_CURDIR {
        USHORT Flags;
        USHORT Length;
        ULONG TimeStamp;
        UNICODE_STRING DosPath;
} RTL_DRIVE_LETTER_CURDIR, *PRTL_DRIVE_LETTER_CURDIR;


typedef struct _PEB_LDR_DATA
{
        ULONG Length;
        BOOLEAN Initialized;
        PVOID SsHandle;
        LIST_ENTRY InLoadOrderModuleList;
        LIST_ENTRY InMemoryOrderMo

最低0.47元/天 解锁文章
PEBFake:PEBFake(修改PEB 伪装当前进程路径、参数等)
05-27
Fake process imagepath and name BTW 当然你可以去修改其他进程的PEB信息,参考: 测试效果
关于进程PEB结构的修改实现
eaglenet的专栏
02-18 4792
关于进程PEB结构前辈们给出了几篇比较详细的文章。例如:《JIURL玩玩Win2k进程线程篇 PEB》《陆麟 的 WIN2000 SP1的PEB结构》其中JIURL写的那篇是我到现在看到最详细的了。但是他们都没有给出具体的编程实现。所以在这里我就实现了一下PEB结构修改算是一个小小补充吧:)。下面是我的实现代码。关于原理我在里就不多说了,原理的东西可以看上面两个大牛的文章。代码如下:CODE:
无聊写个示例程序,改自身PEB欺骗SREng
wdykanq的专栏
07-15 2129
freesoft00 freesoft00当前离线 UID129513在线时间490 小时帖子1290积分2589技术0 魅力0 人气21 活力1202 性别保密经验2589 阅读权限30最后登录2012-6-29主题57精华0 卡饭_见习写手 距离下一级还需 411 积分 积分2589技术0 魅力0 人气21 注册
通过修改peb中的命令行参数字段实现进程创建的劫持
最新发布
pureman_mega的博客
06-25 432
之前分析过的一些恶意软件中会使用这种方法来进行浏览器的主页劫持,其原理就是在进程创建回调函数中处理进程的创建消息。下面示例展示了如何修改命令行参数:以abcdefg.exe进程为例,其完整文件路径为:"C:\Users\1909\Desktop\abcdefg.exe";进修改后变为:"C:\Users\1909\Desktop\abcdefg.exe" -124,当然也可以变为:"C:\Users\1909\Desktop\abcd.exe" -124。
Abuse process command line
Sven的忘却日记
04-29 545
这招可以用来bypass一些EDR监控创建进程时的命令行参数。 例如创建cmd进程时指定的参数是 wmic xxxx 但其实真实执行的是其他命令,powershell同理 #include "stdafx.h" #include <windows.h> #include <winternl.h> typedef NTSTATUS(WINAPI *_NtQueryInfo...
PEB_Test.cpp
12-17
1:读取进程的PEB信息 2:进程反调试 3:https://blog.youkuaiyun.com/sinat_34260423/article/details/55096488
PEB隐藏模块
09-03
PEB隐藏模块PEB
peb-0.20b.tar.gz
01-10
标题中的"peb-0.20b.tar.gz"是一个软件包的名称,它采用的是常见的压缩格式`.tar.gz`,这种格式在Linux和Unix-like系统中广泛使用,用于打包和压缩多个文件。"peb"是这个软件包的简称,可能是"PHP Erlang Bridge"的...
IPMA PEB 英文版 带中文目录
01-10
1. IPMA PEB定义与版本信息:文件中提到的IPMA PEB(IPMA Project Excellence Baseline)是国际项目管理协会(IPMA)出版的卓越项目基准。它被标记为版本1.0,这表明它是一个经过组织和权威认证的正式出版物,目的是...
C++ 修改指定进程 PEB 中路径和命令行信息实现进程伪装
LYSM
06-24 3052
背景 所谓的进程伪装,指的修改任意一个指定进程的信息,是它的信息在系统中的显示是另一个进程的信息,这样看来,指定的进程就像是被伪装的进程一样,因为进程信息相同,但实际上,它还是原来的进程,做着原来的进程操作。 函数介绍 NtQueryInformationProcess NTSTATUS WINAPI NtQueryInformationProcess( _In_ HANDLE ProcessHandle, // 要获取信息的进程的句柄。
WIN下 修改,伪装进程路径。支持XP,WIN7 WIN764
08-25
代码完全远程。 可以在XP WIN7 WIN764 WIN2003 等操作系统上成功实现修改进程路径。 已经封装成类,使用及其方便。 部分代码: 头文件: #ifndef ModifyProcessPath_h__ #define ModifyProcessPath_h__ // 结构定义 typedef struct _PROCESS_BASIC_INFORMATION { DWORD ExitStatus; ULONG PebBaseAddress; ULONG AffinityMask; LONG BasePriority; ULONG UniqueProcessId; ULONG InheritedFromUniqueProcessId; } PROCESS_BASIC_INFORMATION, *PPROCESS_BASIC_INFORMATION; // API声明 typedef LONG (__stdcall *PZWQUERYINFORMATIONPROCESS) ( HANDLE ProcessHandle, ULONG ProcessInformationClass, PVOID ProcessInformation, ULONG ProcessInformationLength, PULONG ReturnLength ); class CModifyProcessPath { public: CModifyProcessPath(); BOOL Create(); BOOL ModifyProcessPath(LPCTSTR szPath); BOOL CamouflageExplorerPath(); }; #endif // ModifyProcessPath_h__ CPP部分代码: #include "StdAfx.h" #include "ModifyProcessPath.h" namespace MODIFY_PROCESS { wchar_t m_szModulePath[MAX_PATH]; DWORD dwGetModuleFileNameWAddress; DWORD dwModuleBaseAddress; //E9 (目标地址-当前地址 - 5) #pragma pack(1) typedef struct _JMPCODE { BYTE bJmp; DWORD dwAddr; }JMPCODE,*LPJMPCODE; #pragma pack() DWORD WINAPI MGetModuleFileNameW(HMODULE hModule,wchar_t * lpFilename,DWORD nSize); }; using namespace MODIFY_PROCESS; // 为了不影响在进程内使用 GetModuleFileNameW ,故hook之,返回正确的路径。 DWORD WINAPI MODIFY_PROCESS::MGetModuleFileNameW(HMODULE hModule,wchar_t * lpFilename,DWORD nSize) { typedef DWORD(WINAPI *MGetModuleFileNameWT)(HMODULE,LPWCH,DWORD); MGetModuleFileNameWT pMGetModuleFileNameW; pMGetModuleFileNameW = (MGetModuleFileNameWT)dwGetModuleFileNameWAddress; if(hModule == NULL || hModule ==(HMODULE)MODIFY_PROCESS::dwModuleBaseAddress) { StringCbCopyW(lpFilename,nSize,m_szModulePath); return wcslen(m_szModulePath); } return pMGetModuleFileNameW(hModule,lpFilename,nSize); } CModifyProcessPath::CModifyProcessPath() { } BOOL CModifyProcessPath::Create() { ZeroMemory(MODIFY_PROCESS::m_szModulePath,sizeof(MODIFY_PROCESS::m_szModulePath)); MODIFY_PROCESS::dwGet
详细讲解了 揭露进程伪装术
06-12
详细讲解了揭露进程伪装术,很好,很值得下载
通过 PEB 改变进程名,实现“穿透”防火墙
01-12 2082
PEB(Process Environment Block)——进程环境块,存放进程信息,每个进程都有自己的 PEB 信息。在 Win 2000 下,进程环境块的地址对于每个进程来说是固定的,在 0x7FFDF000 处,这是用户区内存,所以程序能够直接访问。准确的 PEB 地址应从系统的 EPROCESS 结构的 1b0H 偏移处获得,但由于 EPROCESS 在进程的核心内存区,所以程序不能直
用户层修改peb实现隐藏一些东西
weixin_34032827的博客
03-14 1020
#include "stdafx.h" #include <string> #include <Windows.h> #include <Shlwapi.h> #pragma comment(lib,"ole32.lib") #pragma comment(lib,"shlwapi.lib") #pragma comment(lib,"shell32.l...
修改PEB,断链隐藏模块成功
weixin_34319999的博客
06-24 427
修改PEB,断链隐藏模块成功 继续实践之前的想法,就是断掉如下这个结构中的双向链表: typedef struct _LDR_MODULE { LIST_ENTRY InLoadOrderModuleList; LIST_ENTRY InMemoryOrderModuleList; LIST_ENTRY...
擦除模块痕迹
土星·北海若
07-15 1653
对于擦除模块痕迹,我实验了两种方法,下面一一阐述:1.修改PEB结构,用代码说话typedef struct _PEB_LDR_DATA ...{  ULONG               Length;  BOOLEAN             Initialized;  BYTE    reserved[3];  PVOID               SsHandle;  LIS
NTDLL
Lassewang的成长历程
04-26 1215
/*++ Copyright (c) Module Name: SafeModel.h Abstract: This framework is generated by QuickSYS 0.4 Author: Environment: User or kernel mode. Revision History: --*/ #ifndef
【旧文章搬运】获取并修改PEB中的映像路径,命令行和当前目录
weixin_30709929的博客
12-26 334
原文发表于百度空间,2008-7-24 当时对UNICODE_STRING的使用还有点问题,导致最终效果图中字符串被截断了========================================================================== 先从分析PEB开始吧.感觉分析这个东西,首先要把类型定义搞清楚,这个在Windbg里dt _PEB就可以了搞清楚定义主要是为...
windows黑客编程技术之隐藏技术(进程伪装,傀儡进程,进程隐藏)
weixin_44891742的博客
07-26 7133
windows黑客编程技术之隐藏技术(进程伪装,傀儡进程,进程隐藏)
PEB隐藏模块技术解析
隐藏模块的实现通常涉及到对PEB或LDR_DATA_TABLE_ENTRY的修改,这在某些恶意软件或黑客技术中常见,目的是让某些DLL不被系统或安全工具检测到。然而,这样的操作需要非常小心,因为不正确的修改可能会导致进程异常或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值