VC++实现伪装进程路径

大灰狼

1. 我们经常需要进行伪装进程路径，以保护相关重要进程。
   
2. 
   
3. 
   
4. [cpp] view plaincopy
   
5. 
   
6. 
   
7. #include <windows.h>  
   
8. #include <stdio.h>  
   
9. #include <tchar.h>  
   
10.   
    
11. // 结构定义  
    
12. typedef struct _PROCESS_BASIC_INFORMATION {  
    
13.     DWORD ExitStatus;  
    
14.     ULONG PebBaseAddress;  
    
15.     ULONG AffinityMask;  
    
16.     LONG BasePriority;  
    
17.     ULONG UniqueProcessId;  
    
18.     ULONG InheritedFromUniqueProcessId;  
    
19. } PROCESS_BASIC_INFORMATION, *PPROCESS_BASIC_INFORMATION;  
    
20.   
    
21. // API声明  
    
22. typedef LONG (__stdcall *PZWQUERYINFORMATIONPROCESS)   
    
23. (   HANDLE ProcessHandle,  
    
24.     ULONG ProcessInformationClass,  
    
25.     PVOID ProcessInformation,  
    
26.     ULONG ProcessInformationLength,  
    
27.     PULONG ReturnLength);  
    
28. /********************************************************/  
    
29.   
    
30. /*  函数：FxReplaceProcessPath
    
31.     功能：伪装进程路径
    
32.     参数：1-目标进程句柄
    
33.           2-假路径的字符串（UNICODE）
    
34.     返回值：TRUE-成功
    
35.             FALSE-失败*/  
    
36. BOOL FxReplaceProcessPath(HANDLE hProcess, TCHAR *szNewPath)  
    
37. {  
    
38.     // 获取NTDLL.DLL的基址  
    
39.     HMODULE hModule = GetModuleHandle(TEXT("NTDLL.DLL"));  
    
40.     if (hModule == NULL) return FALSE;  
    
41.   
    
42.     // 获取ZwQueryInformationProcess函数的指针  
    
43.     PZWQUERYINFORMATIONPROCESS pZwQueryInformationProcess =   
    
44.         (PZWQUERYINFORMATIONPROCESS)GetProcAddress(hModule, "ZwQueryInformationProcess");  
    
45.       
    
46.     // 查询进程基本信息（包含PEB地址）  
    
47.     PROCESS_BASIC_INFORMATION pbi = {NULL};  
    
48.     if(pZwQueryInformationProcess(hProcess, 0, (LPVOID)&pbi, sizeof(pbi), NULL) < 0)  
    
49.         return FALSE;  
    
50.       
    
51.     // 获取PEB+0X10处的_RTL_USER_PROCESS_PARAMETERS结构指针  
    
52.     ULONG lpRUPP = NULL;  
    
53.     ReadProcessMemory(hProcess, (LPVOID)(pbi.PebBaseAddress + 0x10), &lpRUPP, 4, NULL);  
    
54.       
    
55.     // 修改进程路径  
    
56.     ULONG lpOldPath = NULL;  
    
57.     ReadProcessMemory(hProcess, (LPVOID)(lpRUPP + 0x3C), &lpOldPath, 4, NULL);  
    
58.     WriteProcessMemory(hProcess, (LPVOID)lpOldPath, szNewPath, MAX_PATH, NULL);  
    
59.   
    
60.     // 修改命令行为空  
    
61.     ULONG lpOldCommand = NULL;  
    
62.     ReadProcessMemory(hProcess, (LPVOID)(lpRUPP + 0x44), &lpOldCommand, 4, NULL);  
    
63.     WriteProcessMemory(hProcess, (LPVOID)lpOldCommand, TEXT(""), MAX_PATH, NULL);  
    
64.   
    
65.     return TRUE;  
    
66. }  
    
67.   
    
68. //入口函数  
    
69. int main(int argc, char* argv[])  
    
70. {  
    
71.     FxReplaceProcessPath(GetCurrentProcess(), TEXT("C:\\WINDOWS\\system32\\svchost.exe"));  
    
72.     printf("Goodbye World!\n");  
    
73.     system("pause");  
    
74.     return 0;  
    
75. }  
    
76. 
    

复制代码

OneTime

说实话我突然觉得我学线程编程的时候啥都没有学到