EPROCESS 里有个token结构,是进程的权限令牌,如果能把system进程的token 替换到 一般进程的eprocess里,则一般进程也可以获得system权限。但是这个操作需要Ring0的权限,因为system的eprocess在系统内存空间里。
所以问题有二:
1. 如何获得Ring0权限?
可以通过调用门的方式暂时提权到Ringi0
2. 如何找到system进程和当前进程的eprocess?
可以通过ZwQuerySystemInformation函数获得。
关于token提权可以参考一下博客:
https://bbs.pediy.com/thread-224058-1.htm
通过调用门来给进程提权可以参考CVE-2018-8120的一个exploit:
https://bbs.pediy.com/thread-230051.htm