【求助】一个修改进程路径的疑惑
本帖最后由 HJonny 于 2021-4-7 22:05 编辑最近研究TA的修改进程路径的代码
除了这几个地方
PEB->ProcessParameters->ImagePathName
PEB->ProcessParameters->CommandLine
PEB->ProcessParameters->WindowTitle
PEB->Ldr->InLoadOrderLinks->FullDllName
PEB->Ldr->InMemoryOrderLinks->FullDllName
EPROCESS->ImageFileName
EPROCESS->SeAuditProcessCreationInfo
EPROCESS->SectionObject->Segment->ControlArea->FilePointer->FileName
修改上面的结构体成员变量可以过掉pchunter,但是过不掉wke,vad树也全都遍历了,没有找到原始进程名
从图中可以看出,pid为2500的进程,在 taskmgr中和wke中,进程名均是原始进程名
但不同的是在taskmgr中,路径名字改了,wke仍然是原始路径
而在pchunter中只看进程信息的话,不是红字,但是查看模块 就能看到被修改的进程路径标红了
我自己在ring3层调用ZwQuerySystemInformation的5号功能能够查询出原始进程名称,
所以应该还得有什么地方存放着原始路径,那么到底还有哪些地方存放着进程名和路径呢,困扰了一天了
还希望大佬能够给本小白答疑解惑,谢谢
WKE肯定是获取了进程最新的FileObject,才获取了最新的进程路径。具体咋做的我也忘了。 Tesla.Angela 发表于 2021-4-26 16:36
WKE肯定是获取了进程最新的FileObject,才获取了最新的进程路径。具体咋做的我也忘了。 ...
就算wke获取了进程最新的FileObject,那taskmgr和ZwQuerySystemInfomation 的5号功能又是从那获取的信息呢?翻了好几天结构体,该改的都改了,始终困惑。
页:
[1]