¿Cómo puede el Process Hacker ver la memoria de mi administrador de contraseñas sin derechos administrativos?

12

Uso Process Hacker como reemplazo del Administrador de tareas de Windows en mi computadora.

Mientras observaba la información disponible sobre un proceso seleccionado, encontré la pestaña Memory . Pensé que esta era una lista de ubicaciones de memoria en uso por el proceso seleccionado, sin embargo, noté el botón Strings que busca cadenas en la memoria y me sorprendió mucho encontrar que al buscar cadenas en las ubicaciones de memoria utilizadas por las entradas de KeePassX, los nombres de usuario y las contraseñas se muestran en texto sin formato.

¿Cómo es posible que Process Hacker, que se ejecuta con una elevación " Limited " (según lo informado por sí mismo), acceda a la memoria de otro proceso? Asumí que los procesos solo podían acceder a la memoria asignada a ellos por el sistema operativo y que acceder a la memoria de otro proceso causaría un error de violación de acceso.

El servicio opcional de Process Hacker no se ha instalado.

    
pregunta L Sponge 30.05.2017 - 18:47
fuente

1 respuesta

6

Según su documentación, Process Hacker en realidad lanza un controlador en modo kernel, KProcessHacker. Un controlador en modo kernel tiene acceso a toda la memoria.

Fuentes:

enlace

enlace

    
respondido por el Jesse Keilson 30.05.2017 - 23:55
fuente

Lea otras preguntas en las etiquetas