最近分析银狐木马，发现其中利用 seclogon 服务实现了了一种父进程欺骗技术，就阅读了技术 原文 并做了以下总结。

Seclogon PPID Spoofing

seclogon 流程分析

seclogon，叫做辅助登录服务，该服务是一个 RPC 服务。其主要功能为模拟特定用户登录并创建进程，通过观察其 idl 文件可以发现其主要实现了 SeclCreateProcessWithLogonW 函数。

Introduction

天堂之门 (Heaven’s Gate) 是一种专属于 Windows 操作系统的技术，其独特之处在于主要依赖于 Windows 上的 WoW64 子系统。其核心功能包括在运行于 x64 系统下的 x86（WoW64）进程中直接执行 64 位代码，以及直接调用 64 位 Windows API 函数。

背景

最近在工作中遇到了个桌面卡死问题，需要分析 dump 查找问题原因。第一次分析 dump 查找卡死问题，特此记录下。

流程

查看 explorer

因为卡死的外在表现就是桌面进程卡死了，所以入手点就选在 explorer 进程中。

!process 0 0 explorer.exe

理解堆

栈是分配局部变量和储存函数调用参数及返回地址的主要场所，栈空间是在程序设计时已经规定好怎么使用，使用多少内存空间的。栈变量在使用的时候不需要额外的申请操作，系统栈会根据函数中的变量声明自动在函数栈帧中给其预留空间。栈空间由系统维护，它的分配（如 sub esp ，xx ;）和回收（如 add esp，xxx）都由系统来完成，最终达到栈平衡。所有的这些对程序员来说都是透明的。

同时栈也存在一些不足之处。

1. 栈空间（尤其是内核态栈）的容量是相对较小的，其很难完成一些需要很大空间的操作。
2. 栈空间会在函数返回时释放，不适合保存生命周期较长的变量和对象。
3. 栈空间在程序编译时确定大小，无法分配运行期才能决定大小的缓冲区。

堆（Heap）克服了栈的以上局限，是程序申请和使用内存空间的另一种重要途径。应用程序通过内存分配函数（如 malloc 或 HeapAlloc）或 new 操作符获得的内存空间都来自于堆。

漏洞信息

漏洞简述

• 漏洞名称：AD域权限提升漏洞
• 漏洞编号：CVE-2022–26923
• 漏洞类型：设计缺陷
• 漏洞影响：权限提升
• CVSS评分：3.1 8.8 / 7.7
• 利用难度：Medium
• 基础权限：需要

漏洞影响

受影响的 Windows 版本：

背景

2022 年 3 月 31 日，Spring Framework for Java 中的漏洞被公开披露，现已被给予编号 CVE-2022-22965。

Spring 框架是 Java 中使用最广泛的轻量级开源框架。在 Java Development Kit (JDK) 9.0 或更高版本中，远程攻击者可以通过框架的参数绑定特性获取 AccessLogValve 对象，并使用恶意字段值触发管道机制，并在某些条件下写入任意路径的文件。该漏洞现已被修补。