shulun743 - 2013-8-28 7:35:00
所以这里提到的方法,并不是真正的ByPassHIPS,而是“骗”过HIPS,或者说绕过HIPS的规则
如何骗?
以运行记事本程序为例
我们要做的就是让HIPS认为记事本不是由我们的程序启动的,而是其它正常的进程,如explorer.exe。
一般大家由于考虑到规则的易用性,AD规则的设置都是允许explorer.exe执行几乎所有程序,所以这就存在绕过的可能
具体做法:
hook Native Api NTCreateProcess(Ex)
注意到NTCreateProcess的第四个参数InheritFromProcessHandle,这个参数就是父进程的句柄,指明父进程
(小声地说:这个参数是进程权限继承的基础,如果我们能够成功修改这个参数,就可以打破权限继承机制,实现包括提权的操作)
我们要做的就是把这个参数替换为其它某个进程的句柄,那么HIPS在拦截时就会认为启动程序的父进程就是修改后的那个进程了
由于hook的是Native Api,NTCreateProcess(Ex)由ntdll.dll导出,因此这个操作在ring3就能完成
http://bbs.kafan.cn/thread-326348-1-1.html
用户系统信息:Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.92 Safari/537.1 LBBROWSER
networkedition - 2013-8-28 10:46:00
08年的帖子翻出来没意义吧:kaka6:
© 2000 - 2025 Rising Corp. Ltd.