通过COM将代码注入受Windows保护的进程（PPL）技术分析<\/h1>

1. Windows保护进程背景<\/h2>

1.1 保护进程模型发展<\/h3>

Vista引入Protected Process (PP)<\/strong>：<\/p>

最初为DRM进程设计<\/li>
严格限制加载的DLL（仅限操作系统安装的代码子集）<\/li>
可执行文件必须使用特定Microsoft证书签名<\/li> <\/ul> <\/li>

Windows 8.1引入Protected Process Light (PPL)<\/strong>：<\/p>

放宽DLL加载限制<\/li>
引入不同签名要求<\/li>
添加签名级别区分不同类型的受保护进程<\/li> <\/ul> <\/li> <\/ul>
1.2 签名级别体系<\/h3>

层级关系<\/strong>：

同级或更低级别PPL可完全访问同级或更低级别进程<\/li>
PPL不能完全访问任何级别的PP<\/li>
Anti-Malware PPL是特殊级别，允许第三方通过ELAM证书添加签名密钥<\/li> <\/ul> <\/li> <\/ul>
2. 技术原理与绕过方法<\/h2>
2.1 原始脚本注入技术（已修复）<\/h3>

实现方式<\/strong>：<\/p>

通过加载COM对象将JScript代码注入PPL<\/li>
利用脚本引擎DLL（jscript.dll、scrrun.dll等）<\/li> <\/ul> <\/li>

微软修复方案<\/strong>：<\/p>

内核CI.dll中添加黑名单检查（5个脚本相关DLL）<\/li>
修改DLL资源会导致签名失效<\/li> <\/ul> <\/li> <\/ul>
2.2 新攻击目标选择标准<\/h3>

从普通用户账户运行（非管理员）<\/li>
目标是最高签名级别（PPL-WindowsTCB）<\/li>
攻击面大的受保护进程<\/li> <\/ol>
2.3 攻击NGEN进程（MSCORSVW.EXE）<\/h3>
2.3.1 选择原因<\/h4>

不需要管理员权限<\/li>
加载.NET框架和COM组件<\/li>
作为PPL运行（CodeGen签名级别）<\/li> <\/ul>
2.3.2 COM通信分析<\/h4>

进程启动参数<\/strong>：<\/p>
MSCORSVW -StartupEvent A -InterruptEvent B -NGENProcess C -Pipe D <\/code><\/pre> <\/li> 关键函数<\/strong>：NGenWorkerEmbedding<\/code><\/p> 通过管道传输封送处理的COM对象（ICorSvcBindToWorker）<\/li> 使用类型库生成代理\/存根<\/li> <\/ul> <\/li> <\/ul> 2.3.3 类型混淆攻击<\/h4> 攻击步骤<\/strong>：<\/li> <\/ul> 修改类型库定义：<\/p> 将接口指针参数改为整数或其他类型<\/li> 通过注册表或ROT替换类型库<\/li> <\/ul> <\/li> 代理\/存根处理差异：<\/p> 代理按修改后的类型库封送参数<\/li> 存根按原始定义解封送<\/li> 导致类型混淆和任意指针解引用<\/li> <\/ul> <\/li> 构造FakeObject结构：<\/p> struct<\/span> FakeObject { <\/span><\/span> BSTR FakeVTable; <\/span><\/span>}; <\/span><\/span><\/code><\/pre> 通过BSTR控制VTable内容<\/li> <\/ul> <\/li> <\/ol> 2.3.4 结合KnownDlls机制<\/h4> KnownDlls加载原理<\/strong>：<\/p> LdrpFindKnownDll<\/code>通过LdrpKnownDllDirectoryHandle<\/code>查找DLL<\/li> 完全PP禁用KnownDlls，但PPL仍可使用<\/li> <\/ul> <\/li> 攻击实现<\/strong>：<\/p> 继承伪造的KnownDlls目录句柄到PPL进程<\/li> 使用类型混淆修改LdrpKnownDllDirectoryHandle<\/code>值<\/li> 通过ICorSvcPooledWorker::CanReuseProcess<\/code>实现内存写入<\/li> <\/ul> <\/li> DLL注入<\/strong>：<\/p> 放置恶意DLL到伪造的KnownDlls目录<\/li> 诱导PPL加载System32中已知名称的DLL<\/li> 执行任意代码（包括DllMain）<\/li> <\/ul> <\/li> <\/ol> 2.4 提升到PPL-WindowsTCB<\/h3> 缓存签名机制<\/strong>：<\/p> 利用NtCreateSection<\/code>自动缓存签名<\/li> 需要设置特殊标志（0x40）才能加载到PPL<\/li> <\/ul> <\/li> 实现步骤<\/strong>：<\/p> 伪造缓存签名DLL<\/li> 通过WERFAULTSECURE.EXE（PPL-WindowsTCB）加载<\/li> 利用CVE-2018-8449绕过设备保护<\/li> <\/ul> <\/li> <\/ol> 3. 防御与缓解<\/h2> 3.1 微软修复措施<\/h3> 脚本引擎DLL黑名单<\/li> 修复缓存签名机制绕过（CVE-2018-8449）<\/li> 限制PPL对KnownDlls的访问<\/li> <\/ol> 3.2 防护建议<\/h3> 及时安装安全更新<\/li> 监控可疑的进程注入行为<\/li> 限制普通用户对COM和类型库的修改权限<\/li> 使用更高安全机制（如VSM\/IUM）替代PPL<\/li> <\/ol> 4. 影响范围<\/h2> 受影响系统<\/strong>：Windows 10 1803及更早版本<\/li> 攻击前提<\/strong>：普通用户权限<\/li> 潜在危害<\/strong>：绕过文件\/资源保护（如Windows Store）<\/li> 管理员权限下可攻击CSRSS、Windows Defender等关键进程<\/li> <\/ul> <\/li> <\/ul> 5. 技术总结<\/h2> 本技术通过组合利用以下漏洞实现PPL注入：<\/p> COM类型库类型混淆<\/li> KnownDlls机制缺陷<\/li> 缓存签名验证逻辑问题<\/li> <\/ol> 这种攻击方式展示了即使在高强度保护机制下，通过巧妙组合多个"非安全边界"问题，仍可能实现权限提升和代码执行。<\/p>