最近 Windows 7 里面的一个叫 AppLocker 的新功能在反病毒爱好者的圈子里比较流行。
如果你是一个安全专家,你会知道允许程序做些什么事情,是很危险的,你也会知道什么程序该有什么功能,不该有什么功能。你希望得到的是一次设置,永无打扰的解决方案。Applocker对于安全专家来说,不能不说是相当实用的。
 |
| 图2 |
Applocker的设置窗口
(不知道 AppLocker 是什么的请看:http://edge.technet.com/Media/Windows-7--AppLocker-Chinese/)
查阅了不少资料,发现其实这个功能是可以绕过的,但比原先的组策略要可靠的多。
传统的组策略软件限制(SRP)由父进程通过 CreateProcess -> CreateProcessInternalW -> BasepCheckWinSaferRestrictions 进行验证。
Windows 7 中的 AppLocker(SLPv2)由一个驱动程序 discache 以及一个系统服务 AppIDSvc 联合控制。
此程序在未提升权限的管理员账户下可绕过 Windows 7 Ultimate 操作系统上的 AppLocker 软件限制策略(SRPv2)执行任意程序,
理论上还可以绕过传统的组策略限制(SRP)执行任意程序。
下载 DEMO 程序请前往 SkyDrive:http://cid-ad319598642e8326.skydrive.live.com/self.aspx/Public/Others/BypassRestrictions.zip
或者卡卡论坛:http://bbs.ikaka.com/showtopic-8687866.aspx
源代码就不发了,查看源代码的快捷键大家都知道。
参考:http://technet.microsoft.com/en-us/library/ee844115(WS.10).aspx
