Estoy leyendo sobre técnicas de inyección de procesos en máquinas Windows (originalmente surgió de esto a partir de una investigación de escalamiento de privilegios). Aunque utilicé Windows durante la mayor parte de mi vida, creo que entiendo mejor los esquemas de privilegios / permisos de Linux, y agradecería una aclaración sobre la suposición de algunos de los métodos comunes.
- Vaciado del proceso: un programa necesita iniciar uno diferente, los ejemplos comunes son explorer.exe o svhosts.exe, que se encuentran en la carpeta de Windows
- Secuestro de DLL: haga que un proceso diferente cargue algún archivo DLL o escríbalo en una carpeta alta en la ruta de búsqueda
- Otros similares
Esos métodos generalmente dependen de las API del sistema de llamada y de la asignación y copia de memoria en ubicaciones estratégicas. No parece que un usuario estándar con pocos privilegios pueda realizar este ataque, ¿o sí? (Un ejemplo de "bajo privilegio" sería un usuario corporativo estándar). Quiero decir, si pueden, ¿no sería un defecto de diseño en el sistema operativo o simplemente mucho más difícil de lo que muestran los manuales?
Referencia: Ten Process Injection Técnicas: un estudio técnico de técnicas de inyección de procesos comunes y tendencias , el texto y los diagramas muestran un proceso que manipula fácilmente la memoria de otro proceso.