打印处理器

对手可能会滥用打印处理器，在系统启动期间运行恶意 DLL 以实现持久性和/或权限提升。打印处理器是由打印后台处理程序服务 spoolsv.exe 在启动期间加载的 DLL。(引用: Microsoft Intro Print Processors) 对手可能通过添加在启动时加载恶意 DLL 的打印处理器来滥用打印后台处理程序服务。可以通过具有 SeLoadDriverPrivilege 权限的帐户使用 AddPrintProcessor API 调用安装打印处理器。或者，可以通过添加指向 DLL 的 HKLM\SYSTEM\[CurrentControlSet or ControlSet001]\Control\Print\Environments\[Windows architecture: e.g., Windows x64]\Print Processors\[user defined]\Driver 注册表项将打印处理器注册到打印后台处理程序服务。 为了正确安装恶意打印处理器，有效负载必须位于专用系统打印处理器目录中，可以通过 GetPrintProcessorDirectory API 调用找到该目录，或通过该目录的相对路径引用。(引用: Microsoft AddPrintProcessor May 2018) 安装打印处理器后，必须重新启动打印后台处理程序服务（在启动时启动），以便它们运行。(引用: ESET PipeMon May 2020) 打印后台处理程序服务在 SYSTEM 级别权限下运行，因此由对手安装的打印处理器可能在提升的权限下运行。