文章总结： 文档介绍利用Windows目录符号链接欺骗进程命令行路径的技术。通过创建指向真实路径的符号链接并启动进程，监控工具会记录虚假路径，删除链接后可掩盖真实文件位置以干扰EDR检测。文章验证了该技术对ProcessExplorer和Sysmon的有效性，并提出比对映像路径与命令行路径的检测建议。文末包含安全工具推广内容。 综合评分： 55 文章分类： 红队,免杀,实战经验,安全工具

通过符号链接进行Windows进程命令行欺骗

星夜AI安全 星夜AI安全

星夜AI安全

2026年3月3日 13:25 吉林

📌各位可以将公众号设为星标⭐

📌这样就不会错过每期的推荐内容啦~

📌这对我真的很重要！

📌1. 本平台分享的安全知识和工具信息源于公开资料及专业交流，仅供个人学习提升安全意识、了解防护手段，禁止用于任何违法活动，否则使用者自行承担法律后果。

📌2. 所分享内容及工具虽具普遍性，但因场景、版本、系统等因素，无法保证完全适用，使用者要自行承担知识运用不当、工具使用故障带来的损失。

📌3. 使用者在学习操作过程中务必遵守法规道德，面对有风险环节需谨慎预估后果、做好防护，若未谨慎操作引发信息泄露、设备损坏等不良后果，责任自负。

引言

端点检测与响应（EDR）系统通常会利用进程环境块（PEB）中的 ProcessParameters 字段，来获取有关进程启动时的可执行映像路径、名称以及传递的参数等信息。

通过伪造进程的“CommandLine”字段，我们可以在某种程度上干扰日志分析系统的判断，从而更隐蔽地隐藏目标机器上的活动。

如果在进程初始化后立即尝试覆盖其进程环境块（PEB），现代 EDR 和防病毒解决方案将会对进程进行严厉处置。因此，我们需要寻找一种方法来突破这一限制。

本文将尝试利用符号链接来伪造进程“命令行”中的映像文件路径，并通过 Process Explorer、Sysmon 和 System Informer 等工具进行实际验证。

主要部分

1. PEB 中 ProcessParameters 的基本信息

ProcessParameters 字段是一个指向 RTL_USER_PROCESS_PARAMETERS 结构的指针。

该结构保存了关键的进程启动信息，包括：

• CommandLine（UNICODE_STRING） – 用于启动进程的完整命令行。
• ImagePathName（UNICODE_STRING） – 可执行文件的完整路径。
• CurrentDirectory（UNICODE_STRING） – 进程的工作目录。
• Environment（PVOID） – 指向环境变量的指针。
• WindowTitle（UNICODE_STRING） – 主窗口标题（如果适用）。
• DesktopInfo（UNICODE_STRING） – 指定 GUI 进程的桌面。
• ShellInfo（UNICODE_STRING） – Shell 特定信息。
• RuntimeData（UNICODE_STRING） – 由运行时加载器使用。

在本文中，我们将重点关注 CommandLine 部分。

2. 使用 Process Explorer 尝试目录符号链接

在 Windows 中，符号链接（也称为软链接）可以充当指向另一个文件或目录的指针，从而允许从多个位置访问目标。

例如：

mklink /d "C:\MyFolder" "D:\TargetFolder"

该命令会创建一个名为“C:\AliasFolder”的符号链接，指向文件夹“D:\TargetFolder”。之后，当您在文件资源管理器中导航至“C:\AliasFolder”或在命令中使用它时，实际上访问的是“D:\TargetFolder”中的内容。

基于以上信息，我们假设创建如下符号链接命令：

mklink /D "C:\FakePath\Modules" "C:\TMP\Target"

当创建一个路径为“C:\FakePath\Modules\SampleEXE.exe”的进程时，Windows 会自动重定向并执行“C:\TMP\Target”文件夹中的“SampleEXE.exe”文件。

接下来，我们将通过 Process Explorer 检查进程“SampleEXE.exe”的路径是被识别为“C:\FakePath\Modules\SampleEXE.exe”还是“C:\TMP\Target\SampleEXE.exe”。

如上实验所示，Process Explorer 仍然将进程的路径和“CommandLine”识别为位于“C:\FakePath\Modules\SampleEXE.exe”。

因此，如果我们在创建进程后删除目录符号链接，仅基于 Process Explorer 的监控，将无法找到可执行文件的实际位置。更准确地说，此时可执行文件的路径已经不存在。这正是恶意软件所追求的理想状态：在监控工具的视野中变得不可见。

让我们再通过 System Informer（Process Hacker）观察其在此情况下的表现。

Process Hacker 可以解析出可执行文件的实际位置，但进程的“命令行”仍然显示为欺骗路径。

我们继续检查 Sysmon 如何记录上述进程的信息。

使用 WMI 查询：

由此可见，利用目录符号链接，我们可以部分欺骗进程的命令行。虽然这种方法不如完全欺骗那样完美，因为它仅改变了日志记录中可执行文件的路径，但仍然增加了日志分析的复杂性。

终曲

EDR 规则在很大程度上依赖于进程的进程环境块（PEB）来检测客户端上的恶意活动。

进程 PEB 中的一个重要字段是 ProcessParameters，它包含了可执行文件路径以及进程初始化时的参数信息。

通过目录符号链接，我们可以伪造 ProcessParameters 字段中的可执行文件路径。进程初始化后，如果删除该符号链接，ProcessParameters 中的可执行文件路径将指向一个不存在的位置。这对于恶意软件或红队活动而言是非常理想的状态。

在构建检测规则时，除了依赖 ProcessParameters 字段外，还需要考虑其他字段，以使监控和检测更加有效和准确。在本例中，检测伪造 ProcessParameters 的一种方法是将映像路径与命令行中找到的可执行文件路径进行比较。

关注微信公众号后台回复入群 即可加入星夜AI安全交流群

圈子介绍

现任职于某头部网络安全企业攻防研究部，核心红队成员。2021-2023年间累计参与40+场国家级、行业级攻防实战演练，精通漏洞挖掘、红蓝对抗策略制定、恶意代码分析、内网横向渗透及应急响应等技术领域。在多次大型演练中，主导突破多个高防护目标网络，曾获“最佳攻击手”“突出贡献个人”等荣誉。

已产出的安全工具及成果包括：

• 多款主流杀软通杀工具（兼容卡巴斯基、诺顿、瑞星、360等终端防护，无感知运行，突破多引擎联合检测）
• XXByPassBehinder v1.1 冰蝎免杀生成器（定制化冰蝎免杀工具，绕过主流终端防护与EDR动态检测，支持自定义载荷）
• 哥斯拉二开免杀定制版（二开优化，深度免杀，突破终端防护与EDR检测，适配多场景植入）
• NeoCS4.9终极版（高级免杀加载工具，强化载荷注入与进程劫持，适配多系统版本，无兼容问题）
• WinDump_免杀版（浏览器凭证窃取工具，支持Chrome/Edge/Firefox等主流浏览器，一键提取敏感数据，免杀过防护）_
• _DumpBrowser_V1_免杀版（浏览器凭证窃取工具，专攻浏览器密码、Cookie、历史记录提取，免杀性能拉满）
• fscan二开版（二开优化内网扫描工具，增强指纹精度、弱口令爆破与结果标准化输出，适配复杂内网）
• RingQ加载器二开版（二开优化免杀加载器，支持Shellcode内存执行，绕过各类终端防护与EDR检测）
• 多款免杀Webshell集合（覆盖PHP/JSP/ASPX，过主流WAF与终端防护，适配不同Web场景）
• 免杀360专属加载器（支持Shellcode内存执行，针对性绕过360全系防护检测，无感知运行）
• 一键Kill 火绒 defender 工具 HDKiller（包含源码）
• win11 一键kill 360工具 InjectKill（包含源码）
• win11 一键kill defender工具win11_df-killer（包含源码）
• 免杀火绒6.0内存防护加载器BypassMemLoader

后续将不断更新到内部圈子中 欢迎加入圈子

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：星夜AI安全 星夜AI安全 星夜AI安全《通过符号链接进行Windows进程命令行欺骗》