Статья win32 - full сommand line hooking

[xChimera]

Хук почти всех возможных способов получить командную строку текущего процесса (делал для последующей загрузки пе модуля в памяти)

System informer тоже видит хукнутые аргументы

Список хуков:
kernel32 -> GetCommandLineA
kernel32 -> GetCommandLineW
kernelbase -> GetCommandLineA
kernelbase -> GetCommandLineW

msvcrt -> __getmainargs
msvcrt -> __wgetmainargs
msvcrt -> __argc
msvcrt -> __argv
msvcrt -> __wargv
PEB->ProcessParameters->CommandLine

Exploit.IN Send

Encrypt and send files with a link that automatically expires to ensure your important documents don’t stay online forever.

send.exploit.in

 

[Brejnev]

так все отсюда и берут PEB->ProcessParameters->CommandLine

 

[xChimera]

так все отсюда и берут PEB->ProcessParameters->CommandLine

Дефолтный таск менеджер нет, он показывает оригинал