根据https://docs.microsoft.com/en-us/windows/win32/services/protecting-anti-malware-services- “加载到受保护进程中的任何非 Windows DLL 必须使用适当的证书进行签名。”
DLL 被视为“非 Windows”的条件是什么?换句话说,什么是“Windows”dll。
我知道 msmpeng.exe,一个 AM-PPL 进程将加载 C:\Windows\System32\slc.dll,一个未签名的 dll。为什么允许这样做?
任何信息表示赞赏。
谢谢!
Windows DLL 是随 Windows 一起提供并由 Microsoft 定义为 Windows 的链签名的 DLL。叶证书通常被命名为“Microsoft Windows”。这与 MS Office 等附带的文件不同。我不能排除以某种方式涉及的文件列表。我相信某些 Windows 组件(如 rundll32.exe 和其他主机组件)在所有情况下都不能完全信任,因为它们会加载外部代码。
slc.dll 与今天随 Windows 一起提供的 99.999% 的 PE 文件一样,都是经过签名的。它是目录签名的,而不是嵌入式证书。使用 SigCheck 进行验证。