伪装成白名单的方法

伪装成白名单的方法

程序本身不在白名单，此时需要伪装白名单的方式来伪装成白名单的调用，使用方法就是伪装进程PEB

PEB结构：进程环境信息块，该结构中存放了进程信息，每个进程都有自己的PEB信息。通过修改目标进程的PEB结构中的路径信息和命令行信息为想要伪装的对象一致,就可以将目标进程伪装成想要伪装的目标。实现原理：

1. 通过NtQueryInformationProcess函数获取指定进程PEB地址。因为该进程与我们的进程可能不在一个进程空间内，所以需要调用WIN32API函数ReadProcessMemory和WriteProcessMemory函数来读写目标进程内存。
2. 根据PEB中的ProcessParameters来获取并修改指定进程的RTL_USER_PROCESS_PARAMETERS信息，这个结构体中保存了PEB的路径信息、命令行信息，修改之后，即可实现进程伪装。