帮酷LOGO
  • 显示原文与译文双语对照的内容
Protected Processes Light Killer

  • 源代码名称:PPLKiller
  • 源代码网址:http://www.github.com/Mattiwatti/PPLKiller
  • PPLKiller源代码文档
  • PPLKiller源代码下载
  • Git URL:
    git://www.github.com/Mattiwatti/PPLKiller.git
  • Git Clone代码到本地:
    git clone http://www.github.com/Mattiwatti/PPLKiller
  • Subversion代码到本地:
    $ svn co --depth empty http://www.github.com/Mattiwatti/PPLKiller
    Checked out revision 1.
    $ cd repo
    $ svn up trunk
  • 概述

    在运行过程中,PPLKiller ('protected 进程是一个内核模式驱动程序,它可以在所有运行进程中禁用 protected 。

    PPL机制 introduced Windows transfers在 8.1 transfers many,例如当本地系统用户和启用调试特权时,不可能打开一个PPL进程,即使作为本地系统用户。

    有关PPL的更多信息,请阅读的protected 进程的演变( Alex 。

    of可以能是设计好的意图( 它也有用途,比如保护LSA进程防止篡改),我大多发现这是一个令人烦恼的调试方式。 这就是我写这个驱动的原因只有一件事: 它查找所有的PPL进程并删除它们的保护。 non-'光线'protected 进程( 。例如 。系统进程) 保留 protected 。

    PPLKiller在 Windows 8.1和 10上工作,并且不需要禁用内核补丁保护。

    有关代码签名强制的更新

    在 Windows 10 RS2 ('redstone 2'更新'中增加了一个新的内核模式验证,在 EPROCESS 结构中增加了'二进制签名策略'过程的验证,这已经引起了我的注意。 这种缓解策略虽然本身不是( 自 Windows 8以来已经存在),但以前只在用户模式中实施。 然而新的更新将不可以能注入任何未经微软登录到同一过程的代码,以前已经经'光线'protected 。 由于在进程保护方面,这对调试具有同样灾难性的影响,并且为不确定的原因执行了操作,因此我将在RS2和更高版本上自动禁用该策略。 旧版本的Windows 版本当前已经经传递给这个版本,除非微软决定重新将检查添加到旧。

    编译
    • 安装
    • 打开解决方案文件并编译。
    • 安装
    • 确保已经启用测试签名( bcdedit/set testsigning on ) 或者者,你是一个富富万富百万,并且有一个 Windows 评估签名证书。
    • pplkiller.sys 复制到 %systemroot%System32drivers
    • 运行 sc create pplkiller binPath= System32driverspplkiller.sys type= kernel 来安装司机( 注意空间)
    • 操作
    • 运行 sc start pplkiller 以启动驱动程序。
    • 运行 sc stop pplkiller 以停止驱动程序,因为它在启动后实际上不执行任何操作。
    • 现在应该没有更多的PPL protected 进程了。 在Process中查看 csrss.exe 并检查安全选项卡的"protected"字段,你可以验证这个。
    • 注释
    • 这个驱动程序很大程度上依赖于没有文档的内核内部。 尽管它不使用版本特定的代码,但未来版本的Windows 仍可能因任何原因而中断它。 如果发生这种情况,请提交你的确切内核版本号的问题。
    • 可以以取消系统进程,但是因为系统进程中的所有线程都在内核模式下运行,所以很少用。 因此,除了进程保护之外还有额外的检查,以防止将调试器附加到 PID 4. 如果要调试内核,请使用内核调试器。 如果想查看系统进程( 比如内核线程堆栈)的详细信息,那么有更好的替代方案,比如进程黑客( ),不需要删除进程保护。



    Copyright © 2011 HelpLib All rights reserved.    知识分享协议 京ICP备05059198号-3  |  如果智培  |  酷兔英语