1   1  /  1  页   跳转

[意见建议] 绕过HIPS的规则运行程序

收藏
shulun743
头像
特邀体验者
  • 帖子:4192
  • 注册: 2007-11-06
  • 来自:
瑞星金牌用户
发表于: 2013-08-28 07:35 | 只看楼主 短消息 资料
字号: 1楼

绕过HIPS的规则运行程序

所以这里提到的方法,并不是真正的ByPassHIPS,而是“骗”过HIPS,或者说绕过HIPS的规则



如何骗?

以运行记事本程序为例

我们要做的就是让HIPS认为记事本不是由我们的程序启动的,而是其它正常的进程,如explorer.exe。
一般大家由于考虑到规则的易用性,AD规则的设置都是允许explorer.exe执行几乎所有程序,所以这就存在绕过的可能

具体做法:

hook Native Api NTCreateProcess(Ex)

注意到NTCreateProcess的第四个参数InheritFromProcessHandle,这个参数就是父进程的句柄,指明父进程

(小声地说:这个参数是进程权限继承的基础,如果我们能够成功修改这个参数,就可以打破权限继承机制,实现包括提权的操作)

我们要做的就是把这个参数替换为其它某个进程的句柄,那么HIPS在拦截时就会认为启动程序的父进程就是修改后的那个进程了
由于hook的是Native Api,NTCreateProcess(Ex)由ntdll.dll导出,因此这个操作在ring3就能完成




http://bbs.kafan.cn/thread-326348-1-1.html

用户系统信息:Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.92 Safari/537.1 LBBROWSER
君素雅达,必不致令我徒劳往返也
分享到:
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2013-08-28 10:46 | 短消息 资料
字号: 2楼

回复:绕过HIPS的规则运行程序

08年的帖子翻出来没意义吧
最后编辑networkedition 最后编辑于 2013-08-28 10:48:35
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT