账号保险柜4.0的测试
1没有进程保护的后果
本身IE正常
运行程序后
IE被替换
在从保险箱中运行
这个测试给了我们什么启示?
如果没有进程保护没有窗体保护,IE最终还是难逃一死,保险柜成了摆设。
我这里捆绑的不是恶意程序。但是如果是捆绑的DLL木马的IE程序呢??你们如何保护账号?
2窗体保护的测试
一个小小的溢出工具。
攻击后IE错误,变白。
右键刷新后IE消失
后面的账号保险柜也不正常。。应该是BUG
如果在继续攻击保险箱的主界面。。。。。
保险箱的主界面就会自动退出
如果此时在运行IE虽然保险箱没有退出但是已经完全没有作用了。。
正常的话是这样的
但是攻击后在运行
测试暂时就这样吧。。以后继续横向测评。。
工程师们希望你们可以获得一点启示。
我很明确的告诉你们仅仅防止DLL注入式不够的。。。
一般保险箱要做到下面几点
防止安装全局钩子让目标进程加载特定dll
防止读取进程内存获得目标进程信息
防止修改进程内存控制目标进程
防止进程间消息获取/干扰目标进程信息
防止结束/挂起进程干掉目标进程
慢慢修改吧
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729)