如果我已经有内核驱动程序,如何创建一个设置了 PsProtectedSignerAntimalware 标志的进程?
How to create a process with PsProtectedSignerAntimalware flag set if i already have a kernel driver?
Windows 中的某些进程如何为它们设置 PsProtectedSignerAntimalware 标志?意思是 windows 如何决定哪些进程在创建时应该设置此标志?
有关此标志的更多信息:
我怀疑 Microsoft 在某个地方硬编码了防病毒列表并根据证书决定哪些进程应该获得这个标志,那么 windows 如何决定哪些进程应该获得这个标志?
假设我已经加载了一个驱动程序,无论如何我可以强制我的用户模式进程有这个标志吗?
这似乎与用于签署二进制文件的证书的 EKU 有关。在幻灯片 11 和 19 中查看 Alex Ionescu 的演示文稿:
https://nosuchcon.org/talks/2014/D3_05_Alex_ionescu_Breaking_protected_processes.pdf
还有你提到的 URL 第三部分:
无论如何,我没能找到所需的 EKU 的确切值,但我认为如果您有兴趣,Microsoft 可以帮助您。
Windows 中的某些进程如何为它们设置 PsProtectedSignerAntimalware 标志?意思是 windows 如何决定哪些进程在创建时应该设置此标志?
有关此标志的更多信息:
我怀疑 Microsoft 在某个地方硬编码了防病毒列表并根据证书决定哪些进程应该获得这个标志,那么 windows 如何决定哪些进程应该获得这个标志?
假设我已经加载了一个驱动程序,无论如何我可以强制我的用户模式进程有这个标志吗?
这似乎与用于签署二进制文件的证书的 EKU 有关。在幻灯片 11 和 19 中查看 Alex Ionescu 的演示文稿:
https://nosuchcon.org/talks/2014/D3_05_Alex_ionescu_Breaking_protected_processes.pdf
还有你提到的 URL 第三部分:
无论如何,我没能找到所需的 EKU 的确切值,但我认为如果您有兴趣,Microsoft 可以帮助您。