跳转至

AppCert DLLs

对手可能通过执行由 AppCert DLLs 触发的恶意内容来建立持久性和/或提升权限。在 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\ 下的 AppCertDLLs 注册表项中指定的动态链接库 (DLL) 会加载到每个调用广泛使用的应用程序编程接口 (API) 函数 CreateProcessCreateProcessAsUserCreateProcessWithLoginWCreateProcessWithTokenWWinExec 的进程中。(引用: Elastic Process Injection July 2017) 类似于 进程注入,可以滥用此值通过在计算机上的单独进程上下文中加载和运行恶意 DLL 来获得提升的权限。恶意 AppCert DLLs 还可以通过 API 活动不断触发来提供持久性。