|
|
本帖最后由 HJonny 于 2021-4-7 22:05 编辑
最近研究TA的修改进程路径的代码
除了这几个地方
PEB->ProcessParameters->ImagePathName
PEB->ProcessParameters->CommandLine
PEB->ProcessParameters->WindowTitle
PEB->Ldr->InLoadOrderLinks->FullDllName
PEB->Ldr->InMemoryOrderLinks->FullDllName
EPROCESS->ImageFileName
EPROCESS->SeAuditProcessCreationInfo
EPROCESS->SectionObject->Segment->ControlArea->FilePointer->FileName
修改上面的结构体成员变量可以过掉pchunter,但是过不掉wke,vad树也全都遍历了,没有找到原始进程名
从图中可以看出,pid为2500的进程,在 taskmgr中和wke中,进程名均是原始进程名
但不同的是在taskmgr中,路径名字改了,wke仍然是原始路径
而在pchunter中只看进程信息的话,不是红字,但是查看模块 就能看到被修改的进程路径标红了
我自己在ring3层调用ZwQuerySystemInformation的5号功能能够查询出原始进程名称,
所以应该还得有什么地方存放着原始路径,那么到底还有哪些地方存放着进程名和路径呢,困扰了一天了
还希望大佬能够给本小白答疑解惑,谢谢
|
|
发表于 2021-4-7 22:03:41
发表于 2021-4-26 16:36:10