Loading... 大概从 Win8 开始,微软提供了一种设置进程状态的方式,来阻击非微软签名的dll注入、内存代码注入等行为,并提供了 (Get)SetProcessMitigationPolicy 等接口。参考: https://docs.microsoft.com/en-us/windows/win32/api/processthreadsapi/nf-processthreadsapi-setprocessmitigationpolicy?redirectedfrom=MSDN 上述 MSDN 页中包含了相关的枚举定义,可以详细看看。 更多资料参考: https://blogs.360.cn/post/poc_edgesandboxbypass_win10th2_new_security_features.html https://blog.csdn.net/NOSEC2019/article/details/102921460 比如曾经分析过的一种利用 UuidFromString+HeapCreate 方式执行 shellcode 的 github 代码: https://github.com/pwn1sher/uuid-loader 就利用了以下两个点来对抗 EDR 等安全软件的 dll 注入: * ProcessSignaturePolicy,设置后进程仅允许带有微软签名的dll注入 * ProcessDynamicCodePolicy,设置后不允许调整代码可执行属性,也不允许远程申请可执行代码 其余待补充 最后修改:2021 年 12 月 10 日 03 : 04 PM © 允许规范转载