我的应用程序需要获取进程的模块(.dll等),但在读取lsass.exe,csrss.exe的模块时我被拒绝访问。而且,我可以毫无问题地获得avp.exe的模块(卡巴斯基反病毒服务),这个模块也是NT AUTHORITY \ SYSTEM。 C#代码:
ProcessModuleCollection pmc;
pmc = Process.GetProcessById(id).Modules;
foreach (ProcessModule pm in pmc)
{
Console.WriteLine(pm.FileName);
}
Console.ReadKey();
有什么想法吗?
答案 0 :(得分:0)
lsass和csrss都是受保护的进程
如何确定某个进程是否为受保护进程?
在过程中,黑客转到lsass,右键单击属性,查看证书,然后转到详细信息,然后转到“增强的密钥用法”,如果该证书提供了“受保护的过程验证”,则可以作为受保护的过程运行。
即使使用SeDebugPrivelage,您也不能以管理员身份访问受保护的进程。
Kaspersky以SYSTEM身份运行,但它不是受保护的进程。
您可以在此处阅读有关受保护进程的所有信息: