问题描述
Windows 中的某些进程如何为它们设置 PsProtectedSignerAntimalware 标志?意思是windows如何决定哪些进程在创建时应该设置这个标志?
有关此标志的更多信息:
我怀疑微软在某处硬编码了 AntiVirus 列表并根据证书决定哪些进程应该获得这个标志,那么 Windows 如何决定哪些进程应该获得这个标志?
假设我已经加载了一个驱动程序,无论如何我可以强制我的用户模式进程有这个标志吗?
解决方法
这似乎与用于签署二进制文件的证书的 EKU 有关。看看 Alex Ionescu 在幻灯片 11 和 19 中所做的演示:
https://nosuchcon.org/talks/2014/D3_05_Alex_ionescu_Breaking_protected_processes.pdf
还有你提到的 URL 的第三部分:
无论如何,我一直无法找到所需 EKU 的确切值,但我认为如果您有兴趣,Microsoft 可以帮助您。