根據https://docs.microsoft.com/en-us/windows/win32/services/protecting-anti-malware-services- “加載到受保護行程中的任何非 Windows DLL 必須使用適當的證書進行簽名。”
DLL 被視為“非 Windows”的條件是什么?換句話說,什么是“Windows”dll。
我知道 msmpeng.exe,一個 AM-PPL 行程將加載 C:\Windows\System32\slc.dll,一個未簽名的 dll。為什么允許這樣做?
任何資訊表示贊賞。
謝謝!
uj5u.com熱心網友回復:
Windows DLL 是隨 Windows 一起提供并由 Microsoft 定義為 Windows 的鏈簽名的 DLL。葉證書通常被命名為“Microsoft Windows”。這與 MS Office 等附帶的檔案不同。我不能排除以某種方式涉及的檔案串列。我相信某些 Windows 組件(如 rundll32.exe 和其他主機組件)在所有情況下都不能完全信任,因為它們會加載外部代碼。
slc.dll 與今天隨 Windows 一起提供的 99.999% 的 PE 檔案一樣,都是經過簽名的。它是目錄簽名的,而不是嵌入式證書。使用 SigCheck 進行驗證。
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/424280.html