4. (PPL geschütztes) Event Handle beenden?

(PPL geschütztes) Event Handle beenden?

  • 2

    Hallo,

    ich habe mich die letzten Tage mit der NT API beschäftigt um alle aktiven Handles aufzulisten und in eine Datei zu schreiben. Das scheint auch gut zu funktionieren.
    Allerdings ist das Handle, welches ich primär suche nicht dabei. Ich vermute jetzt, dass es als PPL (Protected Process Light) definiert ist. Und ich selbst mit Adminrechten und SeDebugPrivilege nicht daran komme.
    Mit SystemInformer bekomme ich das Handle angezeigt und kann es auch schliessen. Allerdings bietet SI kein CLI um es zu automatisieren.

    Kurzes googlen erbrachte, dass ich einen Kernel-Mode-Treiber schreiben müsste. Oder meinen PC in ein Testsystem umkonfigurieren müsste und dann mit einem selbstsigniertem Treiber arbeiten könnte.
    Alternativ könnte ich wohl auch einen bereits signierten Treiber mit Schwachstellen (z.B. CVE-2019-16098) nutzen.

    Da dies mein erster Versuch mit Windows APIs ist bin ich jetzt mit meinem C am Ende.

    Gibt es noch weitere Möglichkeiten, wie ich dieses Handle automatisiert schliessen könnte, ohne selbstsigniertem Treiber oder einem Treiber mit Schwachstellen?
    Oder kennt jemand ein Tool wie SystemInformer, welches ein CLI bietet? Handle.exe habe ich bereits ausprobiert, das kann aber leider keine Handles vom Typ Event beenden.

    Sollte Interesse an meinem bisherigen Code bestehen, stelle ich ihn gerne zur Verfügung. Ist für euch aber wahrscheinlich nur Kinderkram, mein C++ ist ziemlich eingerostet.

    Vielen Dank fürs Lesen
    2XS

    0

  • Ne Idee habe ich da jetzt auch nicht, aber hast du dir schon den System Informer Quelltext angeschaut? Vielleicht kannste dir da was abgucken.

    0
    2
     1 Reply
  • 2

    @DocShoe sagte in (PPL geschütztes) Event Handle beenden?:

    Ne Idee habe ich da jetzt auch nicht, aber hast du dir schon den System Informer Quelltext angeschaut? Vielleicht kannste dir da was abgucken.

    Vielen Dank für den Hinweis. Das habe ich bisher tatsächlich noch nicht gemacht.

    0
  • 2

    SystemInformer nutzt einen, von MS, signierten Kernel-Mode-Treiber.
    Da er prüft, ob Anfragen vom SystemInformer Prozess kommen, kann ich ihn mir auch nicht für meine Zwecke "ausleihen".

    Vielleicht kann ich ja die lieben Leute vom SystemInformer Projekt überreden, ein CLI zu implementieren.

    0

  • @2XS sagte in (PPL geschütztes) Event Handle beenden?:

    Protected Process Light

    Ich kenne die Protected Process Light Technologie nicht, gilt das nur für fremde Prozesse? Kannst du alle relevanten Handles für deinen eigenen Prozess bestimmen? Wenn das der Fall ist, vielleicht geht da was per DLL-Injection.

    0
    2
     1 Reply
  • 2

    @DocShoe sagte in (PPL geschütztes) Event Handle beenden?:

    @2XS sagte in (PPL geschütztes) Event Handle beenden?:

    Protected Process Light

    Ich kenne die Protected Process Light Technologie nicht, gilt das nur für fremde Prozesse? Kannst du alle relevanten Handles für deinen eigenen Prozess bestimmen? Wenn das der Fall ist, vielleicht geht da was per DLL-Injection.

    PPL steht für Protected Process Light und ist ein Windows-Sicherheitsmechanismus,
    der wichtige Prozesse (wie Antivirus-Programme oder Systemdienste) besonders schützt:
    Selbst Administratoren oder andere Programme können diese Prozesse nicht einfach beenden, auslesen oder manipulieren.
    Nur speziell signierte Software mit gleichem oder höherem Schutzlevel darf auf PPL-Prozesse zugreifen.

    DLL-Injection klingt so wie die Nutzung eines verwundbaren Treibers.

    Alle ungeschützten Prozesse kann ich auslesen.

    0
Log in to reply