Antimalware Protected Process Light (AM-PPL) dll 加载要求是什么?
What are the Antimalware Protected Process Light (AM-PPL) dll loading requirements?
根据 https://docs.microsoft.com/en-us/windows/win32/services/protecting-anti-malware-services-,“加载到受保护进程中的任何非 Windows DLL 都必须使用适当的证书进行签名。”
DLL 被视为“非Windows”的条件是什么?换句话说,什么是“Windows”dll.
我知道一个事实 msmpeng.exe,AM-PPL 进程将加载 C:\Windows\System32\slc.dll,一个未签名的 dll。为什么允许这样做?
如有任何信息,我们将不胜感激。
谢谢!
A Windows DLL 是 Windows 附带的 DLL,由 Microsoft 定义为 Windows 的链签名。叶证书的名称通常类似于“Microsoft Windows”。这不同于 MS Office 等附带的文件。我不能排除以某种方式涉及的文件列表。我相信一些 Windows 组件,如 rundll32.exe 和其他主机组件在所有情况下都不是完全可信的,因为它们加载外部代码。
slc.dll,就像今天 Windows 附带的 99.999% 的 PE 文件一样,已签名。它是目录签名的,而不是带有嵌入式证书。使用SigCheck验证。
根据 https://docs.microsoft.com/en-us/windows/win32/services/protecting-anti-malware-services-,“加载到受保护进程中的任何非 Windows DLL 都必须使用适当的证书进行签名。”
DLL 被视为“非Windows”的条件是什么?换句话说,什么是“Windows”dll.
我知道一个事实 msmpeng.exe,AM-PPL 进程将加载 C:\Windows\System32\slc.dll,一个未签名的 dll。为什么允许这样做?
如有任何信息,我们将不胜感激。
谢谢!
A Windows DLL 是 Windows 附带的 DLL,由 Microsoft 定义为 Windows 的链签名。叶证书的名称通常类似于“Microsoft Windows”。这不同于 MS Office 等附带的文件。我不能排除以某种方式涉及的文件列表。我相信一些 Windows 组件,如 rundll32.exe 和其他主机组件在所有情况下都不是完全可信的,因为它们加载外部代码。
slc.dll,就像今天 Windows 附带的 99.999% 的 PE 文件一样,已签名。它是目录签名的,而不是带有嵌入式证书。使用SigCheck验证。