在windows 8.1及以上系统中,微软发布了AM-PPL技术(
Anti-Malware Protected Process Light),可以用于保护反恶意程序的进程,希望瑞星能在本身自我保护的基础上,将此技术用于自身以提高自我保护强度。
Anti-Malware Protected Process Light:
AM processes can run critical user-mode service components as AM-PPL which is at a higher level than an Admin thus can help shield itself from admin level malware
PPL的权限比超级管理员权限还高,不加钩子和驱动(让系统蓝屏那种攻击不算)的话,即使是获得超级管理员权限也干不掉。如果使用PPL对瑞星进程进行保护,那么procexp.exe连瑞星进程加载的模块都看不了。
AM-PPL白皮书:
https://msdn.microsoft.com/en-us/library/windows/desktop/dn313124(v=vs.85).aspxAMP介绍见附件
用户系统信息:Mozilla/5.0 (Windows NT 6.1; WOW64; rv:53.0) Gecko/20100101 Firefox/53.0附件:
Batchelder-VB2015.rar