首页
社区
课程
招聘
[原创]去一个小广告
发表于: 2018-9-5 04:22 10202

[原创]去一个小广告

2018-9-5 04:22
10202

0x1:

  在Store里面找到一个看书的软件

打开后发现右边一直有个广告。

找到对应的进程WWAHost.exe和其挂载的应用目录

调试器挂上去调试了一下,发现它就是个嵌着网页的东西。于是就跑到这个应用的目录下面

果然发现了一些HTML的文件,里面还有醒目的广告层,意思是让我赶快去掉。
Program Files\WindowsApps是你装的UWP应用。既然找到了要修改的文件,那改完就完事了。删掉ad-viewer的div,保存后提示

0x2:
  一开始我以为只是简单的文件夹权限问题,于是把文件夹的所有者改为了我的当前用户,再把当前用户的权限设为完全控制,不过仍然是失败的

那么问题出在哪里呢,简单测试一下,看看是什么情况,用PsExec拉起system权限的cmd


报错

为什么系统正常的进程可以打开,而我们的进程不能打开呢。
于是我怀疑系统在minifilter上做了过滤,先随便找一个Create pre的回调

看下其调用栈

我们就知道了minifilter的irp_mj_create prefunc是由
FLTMGR!FltpPerformPreCallbacks
负责调用的,看一下它对应的代码

在这里做一个HOOK,调用回调后检测它设否设置了STATUS_ACCESS_DENIED.
mov     rax, qword ptr [rdi+18h]  我们在这里做一个HOOK
mov     rax, qword ptr [rdi+18h]  我们在这里做一个HOOK

在执行每个回调后,我们输出一下回调设置的状态值,然而可以看到,每个回调都设置的是STATUS_SUCCESS

可是cmd仍然返回拒绝访问。并不是minifilter中所过滤的。那会不会是我们的打开方式不对呢。
先看下在安装软件的时候,是谁写入的文件

AppXSvc是一个服务,我们可以手动运行命令来控制
net start AppXSvc
net stop AppXSvc

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 5
支持
分享
最新回复 (28)
雪    币: 954
活跃值: (123)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
好文章,支持一下。
2018-9-5 04:50
0
雪    币: 15570
活跃值: (16927)
能力值: (RANK:730 )
在线值:
发帖
回帖
粉丝
3
这需要好好学习一下啊
2018-9-5 08:40
0
雪    币: 350
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
2018-9-5 08:50
0
雪    币: 12857
活跃值: (9172)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
5
这一顿钩子的连招把我吓傻了
2018-9-5 09:04
0
雪    币: 293
活跃值: (287)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
6
令人窒息的操作
2018-9-5 10:12
0
雪    币: 9217
活跃值: (1911)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
7
哇,好强啊!
2018-9-5 10:18
0
雪    币: 689
活跃值: (422)
能力值: ( LV11,RANK:190 )
在线值:
发帖
回帖
粉丝
8
看到开头我以为只是删掉一段html代码,万万没想到啊。。。。。。
2018-9-5 10:19
0
雪    币: 3700
活跃值: (4881)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
万万没想到...
2018-9-5 10:42
0
雪    币: 160
活跃值: (5369)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
wsc
10
好骚的操作
2018-9-5 10:44
0
雪    币: 6314
活跃值: (972)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
11
感谢楼主分享
2018-9-5 12:38
0
雪    币: 248
活跃值: (3789)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
意思就是,explorer进程没有System权限就不能修改WindowsApps里面的文件
2018-9-5 14:09
0
雪    币: 6
活跃值: (3490)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
system权限的cmd再设置一下 protected process 也要可以访问吗?
2018-9-5 16:13
0
雪    币: 576
活跃值: (2035)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
学习了
2018-9-7 20:53
0
雪    币: 6818
活跃值: (153)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
不错!!!
最后于 2018-9-19 23:48 被聖blue编辑 ,原因: 安错了!!!
2018-9-19 23:47
0
雪    币: 8130
活跃值: (2000)
能力值: ( LV8,RANK:122 )
在线值:
发帖
回帖
粉丝
16
这一 连串的钩来钩去, 看呆了
2018-9-20 08:53
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
17
其实完全不必要,文件粉碎机一下干掉
2018-9-20 09:35
0
雪    币: 737
活跃值: (518)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
好好学习,天天向上
2018-9-20 18:09
0
雪    币: 221
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
能不能用另外一个系统,如u盘里的Linux live,启动后找到这个文件,再修改保存?
2018-9-22 18:06
0
雪    币: 1
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
19楼的方法是这么多回复中唯一靠谱的,不过LINUX下访问NTFS系统盘也有不少陷阱。
最后于 2018-9-22 18:47 被alexbro编辑 ,原因:
2018-9-22 18:46
0
雪    币: 1
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
wx_aomo 能不能用另外一个系统,如u盘里的Linux live,启动后找到这个文件,再修改保存?
Pe可以访问吗?
2018-9-22 19:27
0
雪    币: 5055
活跃值: (4813)
能力值: ( LV10,RANK:171 )
在线值:
发帖
回帖
粉丝
22
思路学习了,谢谢
最后于 2018-9-22 20:19 被coneco编辑 ,原因:
2018-9-22 20:18
0
雪    币: 495
活跃值: (147)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
23
被你钩晕了  直接 win pe  简单粗暴
最后于 2018-9-24 00:24 被养乐多A编辑 ,原因: 打错字了
2018-9-24 00:24
0
雪    币: 799
活跃值: (457)
能力值: ( LV12,RANK:280 )
在线值:
发帖
回帖
粉丝
24
真"暴力去除"
2018-11-7 16:31
0
雪    币: 11119
活跃值: (3050)
能力值: ( LV5,RANK:71 )
在线值:
发帖
回帖
粉丝
25
orz,思路很重要。ring0了,什么都是浮云
2018-11-7 16:57
0
游客
登录 | 注册 方可回帖
返回
//