Loading... 从 Win8 开始微软开始引入一种成为 Process Protected Light 的技术,具体可参考:https://www.crowdstrike.com/blog/evolution-protected-processes-part-1-pass-hash-mitigations-windows-81/。 如:wininit.exe、smss.exe、csrss.exe、msmpeng.exe 等都是 ppl 进程。而 sppsvc.exe 是 pp 进程 大概意思: 防止非管理员非PPL进程通过打开进程之类的函数串改PPL进程的代码和数据。 PPL是 PP 的扩展,增加了Protection level的概念。 简单来说,就是在ppl的机制下,未经合法签名的程序不能对ppl保护的进程进行任意访问,只有非常受限的权限。 优先级区别:PP 可以以完全访问权限打开 PP 或 PPL,只要其签名者级别大于或等于;一个 PPL 可以打开另一个具有完全访问权限的 PPL,只要其签名者级别大于或等于;无论签名者级别如何,PPL 都无法以完全访问权限打开 PP。 参考 PPLKiller: https://github.com/Mattiwatti/PPLKiller 在内核遍历进程,将 Protection.level、SignatureLevel 及 SectionSignatureLevel 都更改为 0 即可。   最后修改:2022 年 01 月 06 日 12 : 51 PM © 允许规范转载