如何解决如果我已经有内核驱动程序,如何创建一个设置了 PsProtectedSignerAntimalware 标志的进程?
Windows 中的某些进程如何为它们设置 PsProtectedSignerAntimalware 标志?意思是windows如何决定哪些进程在创建时应该设置这个标志?
有关此标志的更多信息:
我怀疑微软在某处硬编码了 AntiVirus 列表并根据证书决定哪些进程应该获得这个标志,那么 Windows 如何决定哪些进程应该获得这个标志?
假设我已经加载了一个驱动程序,无论如何我可以强制我的用户模式进程有这个标志吗?
解决方法
这似乎与用于签署二进制文件的证书的 EKU 有关。看看 Alex Ionescu 在幻灯片 11 和 19 中所做的演示:
https://nosuchcon.org/talks/2014/D3_05_Alex_ionescu_Breaking_protected_processes.pdf
还有你提到的 URL 的第三部分:
无论如何,我一直无法找到所需 EKU 的确切值,但我认为如果您有兴趣,Microsoft 可以帮助您。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
