进程参数欺骗这个技术在Hackin’Fest 2018年里有讲过
https://www.youtube.com/watch?v=l8nkXCOYQC4

cs作者在其发布的cs3.13里添加了这个功能，我在这里简单演示一下.
用到了360,Windows日志查看器 and Sysmon以及Windows7
准备木马

然后运行目标上线

直接执行不用想肯定不行


查看一下日志

可以看到它的命令参数就是我们执行的命令
然后我们添加一个参数欺骗

再次执行

可以看到这次360没有进行拦截成功添加了用户
查看一下日志

这里可以看到和我们伪装的参数是一样的
添加到管理员组

查看用户

这里只是作为一个思路毕竟添加用户的方法有很多，你除了可以欺骗net1.exe也可以欺骗reg.exe等等许多程序的命令行
下一次就详细的写一下原理