文章目录
概述:Windows 扫盲
[toc]
Windows PPL
Windows PPL(Protected Process Light)与注册表中的 LaunchProtected 键值之间存在紧密的关联,主要用于增强进程的安全性和防止恶意代码注入。以下是两者的核心关系及作用机制:
- Windows PPL 的基本概念
PPL(Protected Process Light) 是 Windows 的一种安全机制,通过限制非受信进程对受保护进程的访问(如代码注入、内存读写等),保护关键系统进程(如 lsass. exe 、wininit. exe )。
保护级别:PPL 分为不同等级(如 WindowsTCB、Windows、Antimalware 等),级别越高,权限要求越严格。
PPL 文章
> 【win】PPL
- LaunchProtected 注册表键值的作用
位置:位于 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options<进程名> 下。
功能:通过设置 LaunchProtected 的值(如 1、2、3),强制指定进程以 PPL 模式启动,无需修改二进制文件签名或组策略。
常见值:
1:轻量级保护(WindowsLight 级别)。
2:中等保护(Windows 级别)。
3:最高保护(WindowsTCB 级别,需系统核心签名)。 - 两者的协同关系
动态启用 PPL:通过注册表 LaunchProtected 可为未原生支持 PPL 的进程(如第三方安全软件)强制启用保护。
绕过签名限制:传统 PPL 需微软或受信证书签名,但 LaunchProtected 允许管理员为特定进程配置保护,灵活性更高。
防御场景:防止恶意进程通过 CreateRemoteThread 或 OpenProcess 攻击受保护进程(如反病毒引擎)。 - 实际应用示例
案例:为 notepad. exe 添加 PPL 保护:
在注册表路径 Image File Execution Options 下创建 notepad. exe 子项。
新建 DWORD 值 LaunchProtected 并设置为 2。
重启后,记事本将以 Windows 级别 PPL 运行,拒绝非受信进程注入。 - 注意事项与限制
权限要求:修改注册表需管理员权限。
兼容性:部分进程可能因权限冲突无法启动(如依赖注入的插件)。
安全风险:错误配置可能导致系统不稳定,仅建议用于关键服务或安全产品。
总结
LaunchProtected 是注册表中控制 PPL 行为的直接开关,通过它可灵活扩展 Windows 的进程保护机制。两者结合为系统安全提供了底层防御层,尤其适用于高敏感场景(如凭证管理、反恶意软件)。如需深入配置,建议参考微软官方文档或测试环境验证。