[原创] Rust写的父进程PID欺骗工具-编程技术-看雪-安全社区|安全招聘|kanxue.com

6

4

[原创] Rust写的父进程PID欺骗工具

发表于: 2023-1-9 11:19 9271

[原创] Rust写的父进程PID欺骗工具

0xlane

活跃值

2

2023-1-9 11:19

9271

父进程 PID 伪造技术测试用工具，rust 编写。

项目地址：https://github.com/0xlane/ppspoofing

使用方式

1 2	`cargo build` `cargo run` `--` `<pid> <commandline>`

在 powershell 可以这么用：

1	`ppspoofing.exe (Get-Process` `-Name winlogon)[0].Id` `notepad.exe`

利用原理

首先通过 OpenProcess 获取到目标进程句柄，访问权限 PROCESS_ALL_ACCESS
创建 STARTUPINFOEXA，调用 InitializeProcThreadAttributeList 初始化
调用 UpdateProcThreadAttribute 将第一步获取的句柄值更新到 PROC_THREAD_ATTRIBUTE_PARENT_PROCESS
调用 CreateProcess 创建进程，创建标志为 CREATE_UNICODE_ENVIRONMENT | EXTENDED_STARTUPINFO_PRESENT

存在的问题

在第一步，administrator 用户也无法获取到所有访问权限的 PPL 进程，影响不大，怎么解决自己研究一下
某些进程作为父进程时，创建的 cmd.exe 进程会闪退，没查原因，创建notepad.exe 就不会有问题

[注意]看雪招聘，专注安全领域的专业人才平台！

#开源分享 #工具脚本

收藏・6

免费・4

支持

分享

赞赏记录

参与人

雪币

留言

时间

北门观雪

+1

你的分享对大家帮助很大，非常感谢！

2024-11-21 08:20

pysafe

为你点赞~

2023-5-6 10:41

sfzhi

为你点赞~

2023-1-10 14:19

zhczf

为你点赞~

2023-1-9 14:00

查看更多

最新回复 (5)
DirtyAngle 雪币： 552 活跃值： (4399) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 172 粉丝 52 关注私信	DirtyAngle 2 楼能不能用c++.... 2023-1-9 14:04 0
pureGavin 雪币： 15126 活跃值： (18503) 能力值： ( LV12，RANK：290 ) 在线值：发帖 94 回帖 1434 粉丝 289 关注私信	pureGavin 3 3 楼 DirtyAngle 能不能用c++.... rust速度更快，内存安全性更好 2023-1-9 14:14 0
ookkaa 雪币： 246 活跃值： (4572) 能力值： ( LV4，RANK：45 ) 在线值：发帖 22 回帖 216 粉丝 53 关注私信	ookkaa 4 楼 pureGavin rust速度更快，内存安全性更好这种进去就是unsafe肯定是不如用纯C写的，楼主估计只是学习一下rust 2023-1-9 14:49 0
值得怀疑雪币： 2039 活跃值： (5612) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 359 粉丝 0 关注私信	值得怀疑 5 楼 pureGavin rust速度更快，内存安全性更好速度更快是不可能的，有些地方还没有优化，比如RVO。 2023-1-9 21:57 0
0xlane 雪币： 3298 活跃值： (1677) 能力值： ( LV8，RANK：130 ) 在线值：发帖 11 回帖 24 粉丝 49 关注私信	0xlane 2 6 楼 pureGavin rust速度更快，内存安全性更好主要是由于有些东西用C不如rust方便，速度对于这种程序来讲不重要，主要还是易用性方面还有编译出来的文件大小考虑。最后于 2023-1-17 17:00 被0xlane编辑，原因： 2023-1-17 16:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

0xlane

发帖

回帖

RANK

使用方式
利用原理
存在的问题

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区