原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
工程项目类土木工程经典参考文献
工程项目类土木工程经典参考文献
标题:【原创】运行期修改可执行文件的路径和CommandLine
作者:NetRoc
时间:2008-01-04,17:56
链接:bbs.pediyshowthread.php?t=57682
cc682NetRoc
??????目前的很多主动防御工具和反XX系统,在对特定进程进行保护的时候,出于兼容性的考虑,都会保留一些白名单。特别是一些系统进程,例如csrss.exe、svchost.exe等等。而针对这些系统进程,判断是否在白名单中的方式,为了简便起见经常采用取系统路径、可执行文件名的方式。
????内核中比较明显的能够取到可执行文件路径的方法有下面几个:
1、??通过PEB.?ProcessParameters?-?ImagePathName取得可执行文件路径,通过PEB.?ProcessParameters?-?CommandLine取得执行的命令行,以及PEB.?ProcessParameters里面其他几个成员取得其他一些相关的路径信息。
2、??通过nt!_EPROCESS的ImageFileName取得。
3、??通过nt!_EPROCESS::?SeAuditProcessCreationInfo::?ImageFileName取得。
4、??通过和_EPROCESS相关的文件对象信息取得。
????常见的方式一般只有1、2两种。而上述的前三种方式都可以在运行时被修改掉,用来进行欺骗。特别是PEB里面的信息由于在ring3直接就可以访问,实现上来说非常简单。
????下面这段代码通过NtQueryInformationProcess拿到PEB,然后修改路径信息:
HMODULE?hMod?=?GetModuleHandle(?_T(?ntdll.dll));
??pfnNtQueryInformationProcess?p?=?(pfnNtQueryInformationProcess)::GetProcAddress(?hMod,?NtQueryInformationProcess);
??
??PROCESS_BASIC_INFORMATION?stInfo?=?{0};
??DWORD?dwRetnLen?=?0;
??DWORD?dw?=?p(?GetCurrentProcess(),?ProcessBasicInformation,?stInfo,?sizeof(stInfo),?dwRetnLen);
??
??PPEB?pPeb?=?stInfo.PebBaseAddress;
??WCHAR?wszFullPath[MAX_PATH]?=?{0};
??WCHAR?wszTmp2[MAX_PATH]?=?{0};
??wcscpy(?wszFullPath,?wszPath);
??MultiByteToWideChar(?CP_THREAD_ACP,?0,?szName,?-1,?wszTmp2,?MAX_PATH);
??wcscat(?wszFullPath,?wszTmp2);
??
??wcscpy(?pPeb-ProcessParameters-ImagePathName.Buffer,?wszFullPath);
??pPeb-ProcessParameters-ImagePathName.Length?=?wcslen(?wszFullPath)?*?sizeof(WCHAR);
??
??int?nParamStart?=?0;
??WCHAR?*wszTmp?=?new?WCHAR[pPeb-ProcessParameters-CommandLine.MaximumLength];
??ZeroMemory(?wszTmp,?sizeof(WCHAR)?*?pPeb-ProcessParameters-CommandLine.MaximumLength);
??
??wcscpy(?wszTmp,?pPeb-ProcessParameters-CommandLine.Buffer);
??
??if?(?pPeb-ProcessParameters-CommandLine.Buffer[0]?==?)
??{
????for?(?int?i?=?1;?i??pPeb-ProcessParameters-CommandLine.Length??2;?i++)
????{
??????if?(?pPeb-ProcessParameters-CommandLine.Buffer[i]?==?)
??????{
????????nParamStart?=?i;
??????}
???
文档评论(0)