首页
社区
课程
招聘
[原创]实用不高深系列01-停止Bxx9
发表于: 2013-5-3 10:33 6030

[原创]实用不高深系列01-停止Bxx9

2013-5-3 10:33
6030

Bxx9 Parity是个集中控制式的应用程序白名单系统,可以配置多种阻断策略(放行、询问、全部阻止),禁止白名单以外的PE文件加载,遇到过的朋友肯定明白。

在单机上部署的客户端由一个服务进程parity.exe和驱动parity.sys组成,经过测试发现结束服务进程parity.exe就可以终止单机上的保护,缺点是会在控制服务器上留下记录,不过这东西不出事情的情况下估计也没人会去看。

结束服务进程的方法用了ProcessHacker做测试,加上nokph作为参数不加载驱动ProcessHacker自身驱动。实现代码大部分是ProcessHacker里扣的,特此说明。

这东西主要在安装了Parity的服务器上使用,对策略的等级有一定限制,并非百分百能成功。自己写个服务小程序,调用代码编译出的exe,用sc给系统加服务。利用已有账户重启服务器,parity.exe折腾几下就结束了,导密码神马的就又可以了。

【说明】
1.实用不高深系列是指这东西着实没有什么技术含量
2.前阵子这公司被渗透,私钥泄露,用Bxx9私钥签名的exe默认可以无视白名单加载看这里
3.经测试,用傀儡进程RunPE方式也可以过Parity,不过需要配合漏洞用ShellCode方式实现RunPE,当时是想用mrinfo的参数溢出来做的,好处是可以无视任何阻断策略,缺点是实现难度有点大
4.不同Windows系统版本需要不同的结束进程方式,XP下面是进程清零,Server2008和Win7上就是干句柄了。附件代码针对后者,XP系统代码也保留了


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 6
支持
分享
最新回复 (2)
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
2
Bit9的系统加固其实不给力,同的方法面对360就浮云一样~~
QVM 2.0强化查杀,毁天灭地的威力~~
2013-5-3 10:41
0
雪    币: 258
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
引来V大回复,哈哈“系列”这个词就是从你的帖子借鉴的
这东西曾经也困扰了我好一阵子,整点入门级的东西,也算是抒发下小米加步枪革命浪漫主义情怀了(忍不住又偷了雷军的话)
2013-5-3 10:47
0
游客
登录 | 注册 方可回帖
返回
//