DEMO:绕过 AppLocker 执行任意程序

安全 网站安全
如果你是一个安全专家,你会知道允许程序做些什么事情,是很危险的,你也会知道什么程序该有什么功能,不该有什么功能。你希望得到的是一次设置,永无打扰的解决方案。Applocker对于安全专家来说,不能不说是相当实用的。

最近 Windows 7 里面的一个叫 AppLocker 的新功能在反病毒爱好者的圈子里比较流行。

如果你是一个安全专家,你会知道允许程序做些什么事情,是很危险的,你也会知道什么程序该有什么功能,不该有什么功能。你希望得到的是一次设置,永无打扰的解决方案。Applocker对于安全专家来说,不能不说是相当实用的。

 

图2

 

Applocker的设置窗口

(不知道 AppLocker 是什么的请看:http://edge.technet.com/Media/Windows-7--AppLocker-Chinese/

查阅了不少资料,发现其实这个功能是可以绕过的,但比原先的组策略要可靠的多。

传统的组策略软件限制(SRP)由父进程通过 CreateProcess -> CreateProcessInternalW -> BasepCheckWinSaferRestrictions 进行验证。

Windows 7 中的 AppLocker(SLPv2)由一个驱动程序 discache 以及一个系统服务 AppIDSvc 联合控制。

此程序在未提升权限的管理员账户下可绕过 Windows 7 Ultimate 操作系统上的 AppLocker 软件限制策略(SRPv2)执行任意程序,
理论上还可以绕过传统的组策略限制(SRP)执行任意程序。

下载 DEMO 程序请前往 SkyDrive:http://cid-ad319598642e8326.skydrive.live.com/self.aspx/Public/Others/BypassRestrictions.zip

或者卡卡论坛:http://bbs.ikaka.com/showtopic-8687866.aspx

源代码就不发了,查看源代码的快捷键大家都知道。

参考:http://technet.microsoft.com/en-us/library/ee844115(WS.10).aspx

责任编辑:王文文 来源: hi.baidu.com
相关推荐

2016-06-07 11:15:39

2017-01-15 22:51:16

2020-09-22 12:07:13

攻击

2017-10-12 06:42:16

Tomcat代码漏洞

2023-03-11 11:01:35

2010-03-08 08:34:56

2009-05-07 14:18:21

2012-10-31 17:21:57

2009-11-16 08:51:24

2009-05-31 15:34:37

2021-11-08 11:52:17

漏洞LinuxLinux TIPC

2021-07-29 15:57:11

任意代码漏洞攻击

2012-12-24 13:50:54

2013-11-01 14:26:13

2014-10-15 17:29:33

2020-10-19 14:01:34

漏洞Linux代码

2013-09-17 10:35:17

Python执行原理

2015-05-08 13:12:41

2020-05-19 11:54:04

脚本语言Linux命令

2011-09-29 20:52:51

百锐防御信息安全
点赞
收藏

51CTO技术栈公众号