[分享]重读老文章-过XX必读系列：以系统进程为父进程启动其他进程-编程技术-看雪-安全社区|安全招聘|kanxue.com

[分享]重读老文章-过XX必读系列：以系统进程为父进程启动其他进程

发表于: 2012-7-13 20:05 14170

[分享]重读老文章-过XX必读系列：以系统进程为父进程启动其他进程

cvcvxk

2012-7-13 20:05

14170

利用一个白名单中的系统进程启动一个白名单的exe（DLL劫持什么的在其中。亲，你们懂得）,有几种方式，
第一种就是常见的创建服务，但是由于RPC过滤已经成型，所以你懂得~
第二种就是注入创建，但是由于注入过滤更成型，所以你懂得~
第三种就是模拟消息，但是由于消息封锁已经成型，所以你懂得~
第四种就是现在我要说的，很少遇到这类启动的过滤，所以亲，这个是个好手段。

用到一个不常见的API CreateProcessWithLogonW

参考老文章（http://msdn.microsoft.com/en-us/library/ms682431%28VS.85%29.aspx）
中的代码改改就行了。
于是就有了一个以系统进程为父进程的白名单进程了，于是亲，你可以做很多以前不敢做的事儿了。

PS:
最近因为工作调动，手头较紧，求捐助。有意者联系 QQ:86879759

[课程]Linux pwn 探索篇！

收藏・42

免费・6

支持

最新回复 (26) 1 2 ▶
yjd 雪币： 2882 活跃值： (1240) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 778 粉丝 1 关注私信	yjd 2 楼我来支持的。 2012-7-13 20:11 0
RootSuLe 雪币： 601 活跃值： (256) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 344 粉丝 4 关注私信	RootSuLe 4 3 楼果然风骚 2012-7-13 20:15 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 4 楼后排123456 2012-7-13 20:16 0
hacknr 雪币： 250 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	hacknr 5 楼前排果断插入 2012-7-13 20:18 0
greenskysc 雪币： 34 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	greenskysc 6 楼顶V校~~ 2012-7-13 20:24 0
z许雪币： 1905 活跃值： (1537) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 266 粉丝 4 关注私信	z许 7 楼学习学习。 2012-7-13 20:25 0
ugvjewxf 雪币： 615 活跃值： (530) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 352 粉丝 11 关注私信	ugvjewxf 8 楼不顶对不住党中央 2012-7-13 20:26 0
天涯一鸿雪币： 1050 活跃值： (1208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 0 关注私信	天涯一鸿 9 楼为什么一看标题就下意识的觉得是老V呢……这种style …… 2012-7-13 20:32 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 10 楼好基友不解释啊~ 2012-7-13 20:46 0
dayang 雪币： 220 活跃值： (701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 934 粉丝 1 关注私信	dayang 11 楼欢迎VXK又发他淘汰的，但是外面没公开的代码了 2012-7-13 20:57 0
zhouws 雪币： 3107 活跃值： (1249) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 12 楼 webem那个不是LPC吧？ 2012-7-13 22:33 0
amyhaber 雪币： 127 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	amyhaber 13 楼以前用这个来创建一个SYSTEM权限的子进程，不过忘了哪里有问题，然后又删掉了这部分代码 ACL这块可以干很多事，比如DIY下进程神马的，再比如vista+下删除系统文件神马的。好处多多~ 2012-7-13 22:55 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 14 楼老v 天天手头紧就好了... 2012-7-13 23:27 0
loveqqc 雪币： 276 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 226 粉丝 0 关注私信	loveqqc 15 楼 user, domain, and password 不知道密码如何启动哦？ 2012-7-15 06:53 0
小P孩儿雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 483 粉丝 0 关注私信	小P孩儿 16 楼 V校这么缺钱。。。 2012-7-15 08:53 0
tihty 雪币： 27 活跃值： (90) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 17 楼微笑贴：） 2012-7-16 21:57 0
Fido 雪币： 107 活跃值： (326) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 18 楼好API。。。。。。。。。。。。。。。。。。 2012-7-16 23:29 0
zgyknight 雪币： 2 活跃值： (164) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 194 粉丝 0 关注私信	zgyknight 19 楼 mark!!!!!!!!!!!!!!! 2012-7-17 04:35 0
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 20 楼 BOOL WINAPI CreateProcessWithLogonW( __in LPCWSTR lpUsername, __in_opt LPCWSTR lpDomain, __in LPCWSTR lpPassword, __in DWORD dwLogonFlags, __in_opt LPCWSTR lpApplicationName, __inout_opt LPWSTR lpCommandLine, __in DWORD dwCreationFlags, __in_opt LPVOID lpEnvironment, __in_opt LPCWSTR lpCurrentDirectory, __in LPSTARTUPINFOW lpStartupInfo, __out LPPROCESS_INFORMATION lpProcessInfo ); typedef struct _PROCESS_INFORMATION { 　　HANDLE hProcess; HANDLE hThread; 　　DWORD dwProcessId; 　　DWORD dwThreadId;　　} PROCESS_INFORMATION, *LPPROCESS_INFORMATION; 2012-7-17 07:04 0
abcgoodwei 雪币： 60 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 47 粉丝 0 关注私信	abcgoodwei 21 楼占位留名，注入。 2012-7-17 08:16 0
Artmiss 雪币： 19 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 69 粉丝 1 关注私信	Artmiss 22 楼站位留名，顶一下~ 2012-7-17 09:56 0
vblank 雪币： 1469 活跃值： (440) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 61 粉丝 0 关注私信	vblank 23 楼本人小菜，LZ所说的XX是啥东西，求高手指点 2012-7-18 12:54 0
luoyinkey 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 18 粉丝 0 关注私信	luoyinkey 24 楼代码看过了，同问，不知道密码怎么启动呢？ 2012-7-20 17:37 0
luoyinkey 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 18 粉丝 0 关注私信	luoyinkey 25 楼终于弄明白了，可以自己创建一个账号再执行，但是，我账号创建成功了，却没有把第三方exe执行起来。 2012-7-20 21:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cvcvxk

125

发帖

3095

回帖

760

RANK

关注

私信

他的文章

[分享]很有时间系列：不用inf安装ndis filter驱动 14987

关于我们

联系我们

企业服务

看雪公众号

最新回复 (26) 1 2 ▶
yjd 雪币： 2882 活跃值： (1240) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 778 粉丝 1 关注私信	yjd 2 楼我来支持的。 2012-7-13 20:11 0
RootSuLe 雪币： 601 活跃值： (256) 能力值： ( LV11，RANK：190 ) 在线值：发帖 11 回帖 344 粉丝 4 关注私信	RootSuLe 4 3 楼果然风骚 2012-7-13 20:15 0
炉子雪币： 66 活跃值： (16) 能力值： ( LV8，RANK：130 ) 在线值：发帖 4 回帖 317 粉丝 1 关注私信	炉子 3 4 楼后排123456 2012-7-13 20:16 0
hacknr 雪币： 250 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	hacknr 5 楼前排果断插入 2012-7-13 20:18 0
greenskysc 雪币： 34 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	greenskysc 6 楼顶V校~~ 2012-7-13 20:24 0
z许雪币： 1905 活跃值： (1537) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 266 粉丝 4 关注私信	z许 7 楼学习学习。 2012-7-13 20:25 0
ugvjewxf 雪币： 615 活跃值： (530) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 352 粉丝 11 关注私信	ugvjewxf 8 楼不顶对不住党中央 2012-7-13 20:26 0
天涯一鸿雪币： 1050 活跃值： (1208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 0 关注私信	天涯一鸿 9 楼为什么一看标题就下意识的觉得是老V呢……这种style …… 2012-7-13 20:32 0
cvcvxk 雪币： 8865 活跃值： (2379) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 233 关注私信	cvcvxk 10 10 楼好基友不解释啊~ 2012-7-13 20:46 0
dayang 雪币： 220 活跃值： (701) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 934 粉丝 1 关注私信	dayang 11 楼欢迎VXK又发他淘汰的，但是外面没公开的代码了 2012-7-13 20:57 0
zhouws 雪币： 3107 活跃值： (1249) 能力值： ( LV8，RANK：120 ) 在线值：发帖 11 回帖 360 粉丝 6 关注私信	zhouws 2 12 楼 webem那个不是LPC吧？ 2012-7-13 22:33 0
amyhaber 雪币： 127 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	amyhaber 13 楼以前用这个来创建一个SYSTEM权限的子进程，不过忘了哪里有问题，然后又删掉了这部分代码 ACL这块可以干很多事，比如DIY下进程神马的，再比如vista+下删除系统文件神马的。好处多多~ 2012-7-13 22:55 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 14 楼老v 天天手头紧就好了... 2012-7-13 23:27 0
loveqqc 雪币： 276 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 226 粉丝 0 关注私信	loveqqc 15 楼 user, domain, and password 不知道密码如何启动哦？ 2012-7-15 06:53 0
小P孩儿雪币： 23 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 483 粉丝 0 关注私信	小P孩儿 16 楼 V校这么缺钱。。。 2012-7-15 08:53 0
tihty 雪币： 27 活跃值： (90) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 17 楼微笑贴：） 2012-7-16 21:57 0
Fido 雪币： 107 活跃值： (326) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 18 楼好API。。。。。。。。。。。。。。。。。。 2012-7-16 23:29 0
zgyknight 雪币： 2 活跃值： (164) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 194 粉丝 0 关注私信	zgyknight 19 楼 mark!!!!!!!!!!!!!!! 2012-7-17 04:35 0
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 20 楼 BOOL WINAPI CreateProcessWithLogonW( __in LPCWSTR lpUsername, __in_opt LPCWSTR lpDomain, __in LPCWSTR lpPassword, __in DWORD dwLogonFlags, __in_opt LPCWSTR lpApplicationName, __inout_opt LPWSTR lpCommandLine, __in DWORD dwCreationFlags, __in_opt LPVOID lpEnvironment, __in_opt LPCWSTR lpCurrentDirectory, __in LPSTARTUPINFOW lpStartupInfo, __out LPPROCESS_INFORMATION lpProcessInfo ); typedef struct _PROCESS_INFORMATION { 　　HANDLE hProcess; HANDLE hThread; 　　DWORD dwProcessId; 　　DWORD dwThreadId;　　} PROCESS_INFORMATION, *LPPROCESS_INFORMATION; 2012-7-17 07:04 0
abcgoodwei 雪币： 60 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 47 粉丝 0 关注私信	abcgoodwei 21 楼占位留名，注入。 2012-7-17 08:16 0
Artmiss 雪币： 19 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 69 粉丝 1 关注私信	Artmiss 22 楼站位留名，顶一下~ 2012-7-17 09:56 0
vblank 雪币： 1469 活跃值： (440) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 61 粉丝 0 关注私信	vblank 23 楼本人小菜，LZ所说的XX是啥东西，求高手指点 2012-7-18 12:54 0
luoyinkey 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 18 粉丝 0 关注私信	luoyinkey 24 楼代码看过了，同问，不知道密码怎么启动呢？ 2012-7-20 17:37 0
luoyinkey 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 18 粉丝 0 关注私信	luoyinkey 25 楼终于弄明白了，可以自己创建一个账号再执行，但是，我账号创建成功了，却没有把第三方exe执行起来。 2012-7-20 21:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复