Ian*_*oyd 5 windows uac elevation rootkit windows-7
从2009年7月的一篇名为Inside Windows 7用户帐户控制的 Technet文章中,Mark Russinovish描述了以标准用户身份运行的应用程序可以默默地提升并获得管理权限:
...在具有标准用户权限的PA(受保护管理员)帐户中运行的第三方软件可以利用自动提升来获得管理权限.例如,软件可以使用 WriteProcessMemory API将代码注入资源管理器,使用 CreateRemoteThread API执行该代码,这是一种称为DLL注入的技术.由于代码在资源管理器中执行,这是一个Windows可执行文件,它可以利用自动提升的COM对象(如复制/移动/重命名/删除/链接对象)来修改系统注册表项或目录,并为软件提供管理权利.
他接着提到恶意软件永远不会这样做,因为它太难了:
......这些步骤需要刻意的意图,不是微不足道的......
最后
...恶意软件可以使用相同的技术获得管理权限.
所以我很想看到一个实际的实现.
我原以为PROCESS_VM_WRITE不是标准用户的权利.
注意:我自己永远不会做任何不好的事情,对世界上其他所有开发者来说也是如此.
| 归档时间: |
|
| 查看次数: |
4420 次 |
| 最近记录: |