【求助】一个修改进程路径的疑惑

HJonny · 发表于 2021-4-7 22:03:41

本帖最后由 HJonny 于 2021-4-7 22:05 编辑

最近研究TA的修改进程路径的代码

除了这几个地方

PEB->ProcessParameters->ImagePathName
PEB->ProcessParameters->CommandLine
PEB->ProcessParameters->WindowTitle
PEB->Ldr->InLoadOrderLinks->FullDllName
PEB->Ldr->InMemoryOrderLinks->FullDllName

EPROCESS->ImageFileName
EPROCESS->SeAuditProcessCreationInfo
EPROCESS->SectionObject->Segment->ControlArea->FilePointer->FileName

修改上面的结构体成员变量可以过掉pchunter，但是过不掉wke，vad树也全都遍历了，没有找到原始进程名

从图中可以看出，pid为2500的进程，在 taskmgr中和wke中，进程名均是原始进程名

但不同的是在taskmgr中，路径名字改了，wke仍然是原始路径

而在pchunter中只看进程信息的话，不是红字，但是查看模块就能看到被修改的进程路径标红了

我自己在ring3层调用ZwQuerySystemInformation的5号功能能够查询出原始进程名称，

所以应该还得有什么地方存放着原始路径，那么到底还有哪些地方存放着进程名和路径呢，困扰了一天了

还希望大佬能够给本小白答疑解惑，谢谢

Tesla.Angela · 发表于 2021-4-26 16:36:10

WKE肯定是获取了进程最新的FileObject，才获取了最新的进程路径。具体咋做的我也忘了。

HJonny · 发表于 2021-6-28 19:13:35

Tesla.Angela 发表于 2021-4-26 16:36
WKE肯定是获取了进程最新的FileObject，才获取了最新的进程路径。具体咋做的我也忘了。 ...

就算wke获取了进程最新的FileObject，那taskmgr和ZwQuerySystemInfomation 的5号功能又是从那获取的信息呢？翻了好几天结构体，该改的都改了，始终困惑。

帐号		自动登录	找回密码
密码			加入我们