- 1
- 0
- 约8.56千字
- 约 6页
- 2026-07-01 发布于北京
- 举报
在NT5系统里,只要有ADMIN权限,就可以把任意DLL注入到系统进程。但NT6系统
为了安全起见,引入了SESSION机制,使这一美好的现实化为了泡影。但实际上微软并
没有把这一套做绝,SESSION是在RING3实现的,而非在RING0里实现。这就为
这一机制了可能。
注入DLL主要是使用CreateRemoteThread函数,CreateRemoteThread函数又调用了
CreateRemoteThreadEx。在CreateRemoteThreadEx里,有一处是否禁用SESSION的判断(以下反汇编代码来自
WIN7X64SP1):
KERNELBASE!CreateRemoteThreadEx+0x224:
000007fe`fd5db564803dd152050000比较byteptr[KERNELBASE!KernelBaseGlobalDatax5c
原创力文档

文档评论(0)