com客户端认证

Question

我们在这里设置了每个流程都经过签名的设置。我们有一个具有 SYSTEM 权限的进程，它公开 COM 接口。我们不希望我们签名的进程以外的进程使用 COM 接口。有什么办法可以做到这一点吗？我们还在探索其他可以实现这一点的 Windows IPC 机制。请随意建议其他 IPC 机制，使之成为可能。 目前我们正在发送 pid 以及请求，但这很容易被欺骗。有什么建议吗？

Answer 1

1. 注册自定义代理/存根或 inproc 处理程序，并让代理或处理程序包含检查二进制文件签名的代码。

2. 通过 inproc COM 对象进行所有访问，该对象执行验证并与服务器进行质询/响应过程。当然，如果他们善于使用调试器，也可以进行欺骗。

3. 放弃吧。即使是签名的进程也可能被欺骗 - 使用带有挂起标志的 CreateProcess，注入 DLL，并使用 JMP 将入口点覆盖到 DLL 中。第一个调用是 Sleep(1000)，因此允许它运行 500 毫秒，然后用原始代码替换跳转。现在您正在 DLL 中运行代码，但 EXE 尚未修改。

即使不使用调试 API 也是如此。哎呀，他们可以修补你的服务以删除检查！