windows – 一个进程是否有可能在没有管理权限的情况下将代码注
发布时间:2020-12-14 06:00:52 所属栏目:Windows 来源:网络整理
导读:DPAPI中的 CryptProtectMemory API允许您传递CRYPTPROTECTMEMORY_SAME_PROCESS标志,该标志可防止其他进程解密内存.解决这个问题的一种方法是使用OpenProcess,WriteProcessMemory和CreateRemoteThread将代码注入目标进程并让它调用CryptUnprotectMemory,从而
DPAPI中的
CryptProtectMemory API允许您传递CRYPTPROTECTMEMORY_SAME_PROCESS标志,该标志可防止其他进程解密内存.解决这个问题的一种方法是使用OpenProcess,WriteProcessMemory和CreateRemoteThread将代码注入目标进程并让它调用CryptUnprotectMemory,从而解密内存并将其泄漏给其他进程.
假设两个进程在Windows Vista或更高版本的同一有限权限用户(即非管理员)的上下文中运行,这仍然可能吗?我的印象是,无论进程ACL如何,进程内存写入操作都被拒绝限制用户,但我可能错了. 解决方法
Windows尊重进程ACL,默认情况下,这允许访问进程正在运行的用户以及本地系统帐户和用户的登录会话SID.管理员可以使用SeDebugPrivilege绕过此ACL.
否则,您需要成为管理员才能调试自己的代码. 您可以更改进程ACL,但从正常情况(IIRC)开始,当前用户是进程所有者,我不确定您是否可以阻止当前用户上下文中的其他进程将其更改回来.此外,由于进程可能在同一台桌面上运行,因此无论如何都会受到shatter attacks的限制. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |