Noargs是一种工具,旨在在未被发现的同时动态欺骗和隐藏过程参数。它通过挂接Windows API来动态操纵Windows内部设备,从而实现这一目标。这允许Noargs谨慎地更改过程参数。
Custom Process Creation Function:拦截CreateProcessw调用后,执行自定义功能,创建新过程并根据需要操纵其参数。
PEB Modification:在自定义过程创建功能中,访问和修改了新创建的过程的过程环境块(PEB),以实现操纵或隐藏过程参数的目标。
Execution Redirection:完成操作后,执行无缝返回命令提示(CMD),而不会中断。这种动态重定向可确保后续命令谨慎地进行操纵,从而逃避了检测和记录机制,这些机制将传达以从PEB获取过程详细信息。
您将需要安装Microsoft/Detours'microsoft弯路。
编译DLL。
将编译的DLL注入任何CMD实例,以动态操纵新创建的过程参数。Option 2:从“发行版”页面下载汇编的可执行文件(现成)。
Default Cmd:
Windows Event Logs:
Using NoArgs:
Windows Event Logs:
该工具主要是通过拦截Windows API函数CreateProcessw制作的过程创建呼叫来运行的。启动过程后,此功能负责产生新过程以及任何指定的命令行参数。此过程创建流中的工具间隔,以确保在启动新过程之前隐藏或操纵参数。Functionality Overview
挂在CreateProcessw中是通过Detours实现的,这是一个流行的库,用于拦截和重定向Win32 API功能。弯路允许在保留原始功能的同时,将功能调用重定向到自定义实现。通过挂接createProcessw,该工具能够拦截过程创建请求并执行其自定义逻辑,然后再允许产生该过程。Hooking Mechanism
过程环境块(PEB)是Windows使用的数据结构,用于存储有关过程环境和执行状态的信息。该工具利用PEB操纵新创建的过程的命令行参数。通过修改存储在PEB中的命令行信息,该工具可以更改或隐藏传递给该过程的参数。Process Environment Block (PEB) Manipulation
Process Hacker View:Demo: Running Mimikatz and passing it the arguments:
Process Monitor View:
All the arguemnts are hidden dynamically
Injection into Command Prompt (cmd):该工具将其代码注入命令提示过程中,将其嵌入为独立代码(PIC)。这使得无缝集成到CMD的内存空间中,从而确保掩护操作而无需依赖特定的内存地址。(Only for The Obfuscated Executable in the releases page)Windows API Hooking:弯路用于拦截createProcessw函数的调用。通过将执行流重定向到自定义实现,该工具可以在原始Windows API函数之前执行其逻辑。Custom Process Creation Function:拦截CreateProcessw调用后,执行自定义功能,创建新过程并根据需要操纵其参数。
PEB Modification:在自定义过程创建功能中,访问和修改了新创建的过程的过程环境块(PEB),以实现操纵或隐藏过程参数的目标。
Execution Redirection:完成操作后,执行无缝返回命令提示(CMD),而不会中断。这种动态重定向可确保后续命令谨慎地进行操纵,从而逃避了检测和记录机制,这些机制将传达以从PEB获取过程详细信息。
Technical Implementation
Option 1:编译NOARGS DLL:您将需要安装Microsoft/Detours'microsoft弯路。
编译DLL。
将编译的DLL注入任何CMD实例,以动态操纵新创建的过程参数。Option 2:从“发行版”页面下载汇编的可执行文件(现成)。