查看: 6538|回复: 15
收起左侧

[讨论] 用shim干坏事

[复制链接]
kfv11
发表于 2016-9-15 05:40:26 | 显示全部楼层 |阅读模式
本帖最后由 kfv11 于 2016-9-15 08:23 编辑

shim机制不是新鲜东西了,网上也能搜到很多。可以用来干坏事。

1是干掉AV,不让他启动,这个肯定可以。

2是劫持程序,等于说就像是Hookapi了,从而做到写启动,注入等。

3是提权,或者弄个后门,以前可以常规账户下提权,后来漏洞被微软补了。


1.不让启动的话 通过Compatibility Modes,其实也就是写个注册表就行

Compatibility Modes XP下少一些,XP以上很多。

XP下可以找个不拦截的mode,或者找个拦截的也行,转变一下大小写,或者字符串值换成可扩充字符串值。比如这样:


[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers]
"C:\\Program Files\\360\\360Safe\\safemon\\360tray.exe"="Win95"

360的自保本来是拦截WIN95大写的,但是换成小写就不管了。不愧是傻逼中的战斗机。
  
WIN7更随便了,可以这样:

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers]
"C:\\Program Files (x86)\\360\\360safe\\safemon\\360tray.exe"="NT4SP5"



不通过Compatibility Modes,那就是Apphelp Message,但这个不好,需要改写文件了。

2.劫持程序写启动等,比如劫持360tray.exe的话。

常规的是要注册一个自定义的sdb,但是360是提示的,除非用白文件搞。

XP以上的系统好像有个api,360可能不会管,不过我不会用。况且XP好像没有那个api。

所以,我们就不要用自定义的sdb,而是直接改写sysmain.sdb,这个360是不提示的。

可惜网上找不到关于sysmain.sdb格式的介绍,我只能自己试着研究了下,确定是可以的。

怎么做我就不说了。









vm001
发表于 2016-9-15 09:22:09 | 显示全部楼层
这个劫持不了360的启动
360_HBM
发表于 2016-9-15 09:39:56 | 显示全部楼层
本帖最后由 360_HBM 于 2016-9-15 09:41 编辑

http://www.freebuf.com/articles/system/114287.html3楼的评论是你发的?
kfv11
 楼主| 发表于 2016-9-15 16:45:34 | 显示全部楼层
vm001 发表于 2016-9-15 09:22
这个劫持不了360的启动

vm001不是我批评你啊。

人家360的人没试过或者不懂,但是不乱说啊。

你不懂咋还凭想象乱说呢。

劫持不了,我发出来干什么???
kfv11
 楼主| 发表于 2016-9-15 16:48:44 | 显示全部楼层
360_HBM 发表于 2016-9-15 09:39
http://www.freebuf.com/articles/system/114287.html3楼的评论是你发的?

是的,我说的大神,不是至计算机界的大牛什么的,是指宇宙中高维世界的神灵。

这些神灵,是人的肉眼看不到的。我虽然嵌入了高维宇宙世界,但最初也是被迫的,所以也是受害者。

kafan论坛很多人也因为我而嵌入其中。
vm001
发表于 2016-9-15 17:09:10 | 显示全部楼层
kfv11 发表于 2016-9-15 16:45
vm001不是我批评你啊。

人家360的人没试过或者不懂,但是不乱说啊。
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers]
"C:\\Program Files (x86)\\360\\360safe\\safemon\\360tray.exe"="NT4SP5"


这个能劫持360?这肯定不行啊,你可以试一试
kfv11
 楼主| 发表于 2016-9-15 17:20:25 | 显示全部楼层
本帖最后由 kfv11 于 2016-9-15 17:22 编辑
vm001 发表于 2016-9-15 17:09
这个能劫持360?这肯定不行啊,你可以试一试




1我的路径是64位路径。
2360tray可以启动但是不能正常工作,等同于没有启动。360会判断当前系统不受支持。

另外你说的这个是不让启动,不是我说的劫持启动。
我说的劫持启动是说启动自己的程序,或者启动的时候,捎带上自己的程序。
vm001
发表于 2016-9-15 17:24:58 | 显示全部楼层
kfv11 发表于 2016-9-15 17:20
1我的路径是64位路径。
2360tray可以启动但是不能正常工作,等同于没有启动。360会判断当前系统不 ...

难道win1064位系统不起作用?。。这里正常工作。。还是指哪些方面不能正常工作了
kfv11
 楼主| 发表于 2016-9-15 17:35:03 | 显示全部楼层
vm001 发表于 2016-9-15 17:24
难道win1064位系统不起作用?。。这里正常工作。。还是指哪些方面不能正常工作了

win10没试过。可能win10上有点区别吧,比如注册表位置变了。。可以肯定是可以的,XP都不防,不可能WIN10就防了。

PS,用Compatibility Administrator 这个工具看看,就知道shim是怎么回事了
kfv11
 楼主| 发表于 2016-9-15 22:37:50 | 显示全部楼层
我明白vm001 在6楼什么意思了。

他觉得我是从别的地方看来的。

这就错了。

我所有发的东西,没有一个是别人发过的。只有一两个是看wooyun上的,然后人家没做到,我继续搞搞,进一步把做不到的做到了而已。。

。。。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 22:03 , Processed in 0.120389 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表