by FlowerCode
Junction 是 NTFS 的功能之一,属于 Reparse Point 的一种,自 Windows 2000 就有。
简单的来说,Junction 提供了对于应用程序透明的目录到目录的链接。
典型例子有 Windows Vista 下的 Documents and Settings 目录,通过 Junction 链接到了 Users 目录。对于一般的(non-Junction aware)的应用程序来说,这两个目录的内容是一样的,所以对于那些只为 XP 设计的应用程序来说,还是可以正常地访问用户文件夹。但是实际上,Documents and Settings 在 Vista 下只是个空目录而已。
我在很久以前的一篇日志中提到,这东西是可以被用来做坏事的。怎么做呢?
假设我有一个没有签名的恶意程序 C:/Malware/A.exe,还有一个已知的微软签名程序,比如 C:/Windows/System32/csrss.exe。
现在我想让 A.exe 在 SREng 日志里显示为已经经过微软签名,那该怎么办呢?
首先,我们创建一个 Junction 目录 C:/JunctionTest,链接到 C:/Malware。
然后将 A.exe 重命名为 csrss.exe,启动 C:/JunctionTest/csrss.exe
然后将 JunctionTest 链接到 C:/Windows/System32。
现在用 SREng 扫描一下,是不是通过签名验证了?
当然,Junction 还有更多更邪恶的用法,为避免被滥用,就请各位自行研究吧。
扫一扫
7022
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
