微软的应用程序控制策略AppLocker,管理员可以非常方便地进行配置,以控制用户可以在计算机上可运行哪些程序、安装哪些文件、运行哪些脚本。黑客如果能绕过AppLocker,那么基本上也能绕过杀软的。
国外黑客subtee最近两年一直在研究这方面的技术,公布了很多很神奇的技法。国内外的很多黑客都在模仿他,跟随他的脚步来挖掘更多这方面的技术。本头条号也介绍过一些他在这方面的技术,例如利用rcsi来执行c#的代码、黑客里的白名单等文章。不过subtee最近好像发神经了,几个月前删掉了他在github里所有的代码。我去找以前的他写的技术资料都找不到了。
不过也有有心人,留下了他的一部份资料,下载地址在:
https://codeload.github.com/demonsec666/Subtee_AllTheThings/zip/9869b7134b108d466954f8014ea2bb4db29eb157。这里边有他的5个技术的实现代码和现成程序。
我来拿出两个例子来说明如何使用。自行把压缩包里的x86.dll放到D盘的根目录下,我们来示例说明。
1、C:/Windows/Microsoft.NET/Framework/v4.0.30319/InstallUtil.exe /logfile= /LogToConsole=false /U d:/x86.dll
2、C:/Windows/Microsoft.NET/Framework/v4.0.30319/regsvcs.exe d:/x86.dll
压缩包里总共有五种不同的执行办法的。其它的请看说明,我就不再一一举例。如果你想换成别的程序执行,不用计算器,压缩包里有源码的,请研究修改吧。
subtee公布的技术远远不自这5种的,不过这5种是精华,像他公布的还有是用msbuild等程序来执行的技巧等等,不过他自己把资料都删掉了,我会在以后的文章里慢慢把他删掉的东西写技术文章分享给大家。做个黑客真不容易,不但要研究,还要做个收藏家。这是真的,有的技术你当时会了,不留点资料,以后又会忘记了的,这也是为什么我不为钱写头条号的原因。希望大家多关注我,多多转发吧。