Windows의 권한 상승 및 위험한 서비스 구성에 대해 배우고 있습니다.
여기에있는 것이 있습니다 :
- 서비스에는 세계 쓰기 가능한 실행 파일 myservice.exe (baaaad idea)가 있습니다.
- 서비스가 시스템 권한으로 실행 중
- myservice.exe가 실행되는 동안 복사 / 바꾸기를 시도하면 작동하지 않습니다. (허가 거부)
- 그러나 처음 실행 파일을 이동 한 다음 폴더에 두 번째 (악의) myservice.exe를 복사하면 Windows에서 불평하지 않습니다.
- 다음에 서비스가 다시 시작되면 evil service.exe가 실행됩니다.
내 질문 : 어떤 프로세스가 myservice.exe를 처리하여 삭제하지 못하게합니까? 동일한 프로세스를 통해 파일을 이동하고 계속 작동 할 수있는 방법은 무엇입니까?
Sysinternals Suite의 procmon.exe를 사용하여 이러한 질문에 스스로 대답하려고했지만 지금까지 아무것도 찾지 못했습니다.