System32 adalah folder tepercaya jika ...
Pada instalasi Windows dalam konfigurasi default, hanya proses dengan izin tingkat administratif yang dapat membuat file di folder System32. Karenanya Anda dapat mempercayai kode yang berjalan dari direktori itu jika yang berikut ini benar:
Hanya program tepercaya yang telah diinstal di komputer. (Saya di sini hanya merujuk ke program yang memerlukan elevasi untuk menginstal.)
Sistem belum dikompromikan dengan peningkatan kerentanan hak istimewa.
Poin kedua ini sulit untuk dipercaya, terutama dalam kasus di mana perangkat lunak berbahaya diduga. Misalnya, ancaman dapat dimulai di bawah akun yang tidak diistimewakan, menggunakan kerentanan untuk mendapatkan izin administratif, lalu memasang root kit untuk menyembunyikan keberadaannya. Admin sistem mungkin memiliki alasan yang kuat untuk mencurigai sesuatu sedang terjadi, tetapi tidak dapat dengan mudah mengkonfirmasi atau menyangkal kemungkinan penggunaan peningkatan eksploitasi hak istimewa.
Tentu saja seseorang yang menggunakan sistem mereka setiap hari masuk dengan akun tingkat administratif membuatnya lebih mudah bagi kode jahat untuk mengkompromikan seluruh sistem dan mungkin lebih baik dengan asumsi mereka mengacaukan tanda pertama aktivitas yang tidak diinginkan.
Tidak semua kode berjalan dari System32
Mendekati ini dari sudut lain adalah kemungkinan bahwa ketika Anda memeriksa sistem Anda untuk proses berbahaya Anda mungkin berpikir kode berjalan dari System32 padahal sebenarnya tidak.
Bahkan pada mesin di mana perangkat lunak yang tidak diinginkan tidak pernah memiliki izin admin itu dapat memberikan pengamat kasual kesan itu berjalan dari folder System32. Itu melakukan ini dengan menempatkan DLL berbahaya di lokasi yang tidak terjangkau (mis. Struktur folder AppData), kemudian mengeksekusi DLLHOST.EXE (Microsoft executable yang berada di System32), meneruskan nama DLL sebagai argumen. Karena proses yang berjalan adalah DLLHOST.EXE, semuanya tampak sah. Ini hanya pada pemeriksaan lebih dekat bahwa seseorang akan menemukan kode aktual, yang terkandung dalam DLL, tidak berada di lokasi yang biasanya istimewa dan karena itu dicurigai.
Berita baiknya adalah dalam kasus-kasus seperti ini di mana kode berbahaya tidak mendapatkan izin admin, tidak dapat keluar dari akun pengguna yang semula terinfeksi dengan mengkonfigurasi Windows untuk memulainya bagi semua pengguna. Oleh karena itu ancaman seperti itu dapat dengan mudah dihilangkan dengan masuk dengan akun yang tidak dikompromikan dan melakukan pembersihan dari sana.