AIS

在前一篇《在Windbg中明查OS实现UAC验证全流程——三个进程之间的”情爱”[2]》简短的分析了下AIS的方方面面的细节,这一篇抛开这些,来深入分析下检测的逻辑以及拉起consent进程的逻辑。
想目睹所谓的“白名单”列表吗?想自己逆向找到这些“可信路径”吗?那就来吧!在前一篇《在Windbg中明查OS实现UAC验证全流程——三个进程之间的”情爱”[1]》种讲解了explorer拉起一个白名单程序的过程,分析到了explorer老大哥“甩锅”的套路,这次分析AIS是怎么干活的。
本篇主要讲解了explorer拉起需要提权的进程的第一步,涉及到好些个进程的调试,后续的还有深入分析,敬请期待!