• <ins id="pjuwb"></ins>
    <blockquote id="pjuwb"><pre id="pjuwb"></pre></blockquote>
    <noscript id="pjuwb"></noscript>
          <sup id="pjuwb"><pre id="pjuwb"></pre></sup>
            <dd id="pjuwb"></dd>
            <abbr id="pjuwb"></abbr>

            S.l.e!ep.¢%

            像打了激速一樣,以四倍的速度運轉(zhuǎn),開心的工作
            簡單、開放、平等的公司文化;尊重個性、自由與個人價值;
            posts - 1098, comments - 335, trackbacks - 0, articles - 1
              C++博客 :: 首頁 :: 新隨筆 :: 聯(lián)系 :: 聚合  :: 管理
            【原創(chuàng)】運行期修改可執(zhí)行文件的路徑和Command Line
            NetRoc 當(dāng)前離線 添加 NetRoc 的聲望 反映此帖

            標 題: 【原創(chuàng)】運行期修改可執(zhí)行文件的路徑和Command Line
            作 者: NetRoc
            時 間: 2008-01-04,17:56
            鏈 接: http://bbs.pediy.com/showthread.php?t=57682

            cc682/NetRoc
            ??????目前的很多主動防御工具和反XX系統(tǒng),在對特定進程進行保護的時候,出于兼容性的考慮,都會保留一些白名單。特別是一些系統(tǒng)進程,例如csrss.exe、svchost.exe等等。而針對這些系統(tǒng)進程,判斷是否在白名單中的方式,為了簡便起見經(jīng)常采用取系統(tǒng)路徑、可執(zhí)行文件名的方式。
            ????內(nèi)核中比較明顯的能夠取到可執(zhí)行文件路徑的方法有下面幾個:
            1、??通過PEB.?ProcessParameters?->?ImagePathName取得可執(zhí)行文件路徑,通過PEB.?ProcessParameters?->?CommandLine取得執(zhí)行的命令行,以及PEB.?ProcessParameters里面其他幾個成員取得其他一些相關(guān)的路徑信息。
            2、??通過nt!_EPROCESS的ImageFileName取得。
            3、??通過nt!_EPROCESS::?SeAuditProcessCreationInfo::?ImageFileName取得。
            4、??通過和_EPROCESS相關(guān)的文件對象信息取得。
            ????常見的方式一般只有1、2兩種。而上述的前三種方式都可以在運行時被修改掉,用來進行欺騙。特別是PEB里面的信息由于在ring3直接就可以訪問,實現(xiàn)上來說非常簡單。
            ????下面這段代碼通過NtQueryInformationProcess拿到PEB,然后修改路徑信息:
            HMODULE?hMod?=?GetModuleHandle(?_T(?"ntdll.dll"));
            ??pfnNtQueryInformationProcess?p?=?(pfnNtQueryInformationProcess)::GetProcAddress(?hMod,?"NtQueryInformationProcess");
            ??
            ??PROCESS_BASIC_INFORMATION?stInfo?=?{0};
            ??DWORD?dwRetnLen?=?0;
            ??DWORD?dw?=?p(?GetCurrentProcess(),?ProcessBasicInformation,?&stInfo,?sizeof(stInfo),?&dwRetnLen);
            ??
            ??PPEB?pPeb?=?stInfo.PebBaseAddress;

            ??WCHAR?wszFullPath[MAX_PATH]?=?{0};
            ??WCHAR?wszTmp2[MAX_PATH]?=?{0};
            ??wcscpy(?wszFullPath,?wszPath);
            ??MultiByteToWideChar(?CP_THREAD_ACP,?0,?szName,?-1,?wszTmp2,?MAX_PATH);
            ??wcscat(?wszFullPath,?wszTmp2);
            ??
            ??wcscpy(?pPeb->ProcessParameters->ImagePathName.Buffer,?wszFullPath);
            ??pPeb->ProcessParameters->ImagePathName.Length?=?wcslen(?wszFullPath)?*?sizeof(WCHAR);
            ??
            ??int?nParamStart?=?0;
            ??WCHAR?*wszTmp?=?new?WCHAR[pPeb->ProcessParameters->CommandLine.MaximumLength];
            ??ZeroMemory(?wszTmp,?sizeof(WCHAR)?*?pPeb->ProcessParameters->CommandLine.MaximumLength);
            ??
            ??wcscpy(?wszTmp,?pPeb->ProcessParameters->CommandLine.Buffer);
            ??
            ??if?(?pPeb->ProcessParameters->CommandLine.Buffer[0]?==?'"')
            ??{
            ????for?(?int?i?=?1;?i?<?pPeb->ProcessParameters->CommandLine.Length?/?2;?i++)
            ????{
            ??????if?(?pPeb->ProcessParameters->CommandLine.Buffer[i]?==?'"')
            ??????{
            ????????nParamStart?=?i;
            ??????}
            ????}
            ??}
            ??
            ??if?(?nParamStart?!=?0)
            ??{
            ????if?(?pPeb->ProcessParameters->CommandLine.Buffer[0]?==?'"')
            ????{
            ??????pPeb->ProcessParameters->CommandLine.Buffer[0]?=?NULL;
            ??????wcscat(?pPeb->ProcessParameters->CommandLine.Buffer,?L"\"");
            ????}
            ????else
            ????{
            ??????pPeb->ProcessParameters->CommandLine.Buffer[0]?=?NULL;
            ????}
            ????wcscat(?pPeb->ProcessParameters->CommandLine.Buffer,?wszFullPath);
            ????wcscat(?pPeb->ProcessParameters->CommandLine.Buffer,?wszTmp?+?nParamStart);
            ??}
            ??delete[]?wszTmp;
            ????這個方式可以欺騙通過toolhelp函數(shù)枚舉出來的模塊路徑,以及直接讀取PEB獲取進程主模塊路徑的方式。
            ????另外,通過修改EPROCESS中的主模塊名信息,可以欺騙一些在驅(qū)動層的程序。基本的代碼如下:
            ????首先需要獲取EPROCESS里面ImageFileName的偏移。這個函數(shù)必須在DriverEntry里面調(diào)用。
            ULONG?GetNameOffsetInEProcss()
            {
            ??PEPROCESS?pProcess?=?NULL;
            ??ULONG?i?=?0;

            ??pProcess?=?PsGetCurrentProcess();
            ??for?(?i?=?0;?i?<?0x1000;?i++)
            ??{
            ????if?(?strncmp(?"System",?(PUCHAR)pProcess?+?i,?strlen("System"))?==?0)
            ????{
            ??????return?i;
            ????}
            ??}
            ??return?0;
            }
            ????然后可以在IoCtrl里面修改當(dāng)前進程的名字:
            case?IOCTL_CHANGE_EXENAME:
            ??????szName?=?(char*)Irp->AssociatedIrp.SystemBuffer;
            ??????if?(?!szName)
            ??????{
            ????????ntStatus?=?STATUS_UNSUCCESSFUL;
            ????????break;
            ??????}
            ??????pEProcess?=?PsGetCurrentProcess();
            ??????strncpy(?(PCHAR)pEProcess?+?g_NameOffsetInEProcess,?szName,?16);
            ??????ntStatus?=?STATUS_SUCCESS;
            ??????break;
            ????由于只是示例,所以只實現(xiàn)了良種方式。修改SeAuditProcessCreationInfo里面的信息,考慮到兼容性問題,可能稍微復(fù)雜一點。不過也可以比較容易的實現(xiàn)。
            ????這種方式的偽裝可以穿過多少主動防御工具沒有試過,大家可以去看看,哈哈。
            ????至于對付的方式,可以通過上面說的第四種取進程路徑的方法。不過就比較復(fù)雜了,呵呵。
            ????流程就是,通過EPROCESS的SectionObject獲得文件的FilePointer,通過ObQueryNameString取得這個對象的名字。然后就可以取得主映像模塊的路徑了。詳細的代碼可以參考wrk中NtQueryInformationProcess的相關(guān)實現(xiàn)。
            下面是實現(xiàn)的代碼:?
            ImgPathChanger.rar[誰下載?]
            精产国品久久一二三产区区别| 日韩精品无码久久久久久| 久久久国产一区二区三区| 国产精品永久久久久久久久久 | 久久伊人五月天论坛| 久久国产欧美日韩精品| 久久人做人爽一区二区三区| 久久A级毛片免费观看| 久久精品国产国产精品四凭| 久久精品国产久精国产一老狼| 久久本道综合久久伊人| 伊人色综合久久天天| 俺来也俺去啦久久综合网| 久久久久se色偷偷亚洲精品av| 四虎国产精品免费久久| 久久九九久精品国产免费直播| 91精品观看91久久久久久| 久久久久久久综合日本亚洲| 久久婷婷五月综合97色直播| 精品久久久久国产免费| 99热都是精品久久久久久| 久久久国产精品网站| 国产精品日韩欧美久久综合| 国产日产久久高清欧美一区| 色婷婷综合久久久久中文| 人妻无码αv中文字幕久久琪琪布| 久久精品国产亚洲αv忘忧草| 久久人做人爽一区二区三区 | 99久久成人国产精品免费| 1000部精品久久久久久久久| 亚洲AV无码久久精品狠狠爱浪潮| 久久精品天天中文字幕人妻| 波多野结衣久久一区二区| 99久久国产精品免费一区二区| 久久人人爽人人爽人人片AV不| 亚洲精品无码久久久久sm| 久久精品无码专区免费东京热| 日韩精品国产自在久久现线拍| 久久久精品国产亚洲成人满18免费网站| 久久婷婷是五月综合色狠狠| 久久99精品久久久久久秒播|