From: http://hi.baidu.com/flowercode/blog/item/2b91f53d726504cc9e3d6229.html
最近 Windows 7 里面的一个叫 AppLocker 的新功能在反病毒爱好者的圈子里比较流行。
(不知道 AppLocker 是什么的请看:http://edge.technet.com/Media/Windows-7–AppLocker-Chinese/)
查阅了不少资料,发现其实这个功能是可以绕过的,但比原先的组策略要可靠的多。
传统的组策略软件限制(SRP)由父进程通过 CreateProcess -> CreateProcessInternalW -> BasepCheckWinSaferRestrictions 进行验证。
Windows 7 中的 AppLocker(SLPv2)由一个驱动程序 discache 以及一个系统服务 AppIDSvc 联合控制。
此程序在未提升权限的管理员账户下可绕过 Windows 7 Ultimate 操作系统上的 AppLocker 软件限制策略(SRPv2)执行任意程序,
理论上还可以绕过传统的组策略限制(SRP)执行任意程序。
下载 DEMO 程序请前往 SkyDrive:http://cid-ad319598642e8326.skydrive.live.com/self.aspx/Public/Others/BypassRestrictions.zip
或者卡卡论坛:http://bbs.ikaka.com/showtopic-8687866.aspx
源代码就不发了,查看源代码的快捷键大家都知道。
参考:http://technet.microsoft.com/en-us/library/ee844115(WS.10).aspx
本文还暂无回复