Process Hacker 如何在没有管理员权限的情况下查看我的密码管理器的内存?

信息安全 操作系统 记忆
2021-09-05 09:43:54

我使用Process Hacker作为计算机上 Window 的任务管理器的替代品。

在查看有关所选进程的各种可用信息时,我找到了该Memory选项卡。我认为这只是所选进程正在使用的内存位置的列表,但是我注意到Strings在内存中搜索字符串的按钮,并且非常惊讶地发现在 KeePassX 条目、用户名和密码使用的内存位置中搜索字符串时以纯文本形式显示。

Process Hacker - 以“ Limited”提升(由其自身报告)运行 - 如何访问另一个进程的内存?我假设进程只能访问操作系统分配给它们的内存,并且访问另一个进程的内存会导致访问冲突错误。

Process Hacker 的可选服务尚未安装。

1个回答

根据其文档,Process Hacker 实际上启动了一个内核模式驱动程序 KProcessHacker。内核模式驱动程序确实可以访问所有内存。

资料来源:

https://github.com/processhacker2/processhacker2#kprocesshacker

https://docs.microsoft.com/en-us/windows-hardware/drivers/gettingstarted/user-mode-and-kernel-mode

其它你可能感兴趣的问题
上一篇分配给对象注入接收器的变量(安全/检测对象注入) 下一篇VPN 是否比 sshuttle 或 vanilla ssh 隧道提供任何安全优势?