-
-
[原创]实用不高深系列01-停止Bxx9
-
发表于: 2013-5-3 10:33
-
Bxx9 Parity是个集中控制式的应用程序白名单系统,可以配置多种阻断策略(放行、询问、全部阻止),禁止白名单以外的PE文件加载,遇到过的朋友肯定明白。
在单机上部署的客户端由一个服务进程parity.exe和驱动parity.sys组成,经过测试发现结束服务进程parity.exe就可以终止单机上的保护,缺点是会在控制服务器上留下记录,不过这东西不出事情的情况下估计也没人会去看。
结束服务进程的方法用了ProcessHacker做测试,加上nokph作为参数不加载驱动ProcessHacker自身驱动。实现代码大部分是ProcessHacker里扣的,特此说明。
这东西主要在安装了Parity的服务器上使用,对策略的等级有一定限制,并非百分百能成功。自己写个服务小程序,调用代码编译出的exe,用sc给系统加服务。利用已有账户重启服务器,parity.exe折腾几下就结束了,导密码神马的就又可以了。
【说明】
1.实用不高深系列是指这东西着实没有什么技术含量
2.前阵子这公司被渗透,私钥泄露,用Bxx9私钥签名的exe默认可以无视白名单加载看这里
3.经测试,用傀儡进程RunPE方式也可以过Parity,不过需要配合漏洞用ShellCode方式实现RunPE,当时是想用mrinfo的参数溢出来做的,好处是可以无视任何阻断策略,缺点是实现难度有点大
4.不同Windows系统版本需要不同的结束进程方式,XP下面是进程清零,Server2008和Win7上就是干句柄了。附件代码针对后者,XP系统代码也保留了
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
引来V大回复,哈哈
 “系列”这个词就是从你的帖子借鉴的这东西曾经也困扰了我好一阵子,整点入门级的东西,也算是抒发下小米加步枪革命浪漫主义情怀了  (忍不住又偷了雷军的话)
|
