雷神校园团队吧 关注:589贴子:3,127
  • 14回复贴,共1

宝宝划船不靠浆-巧用HIPS拦截恶意软件劫持浏览器主页

只看楼主收藏回复



IP属地:甘肃1楼2016-06-11 11:04回复
    本帖依雷神校园团队售后群内某客户的要求开帖演示,出现技术性错误还请原谅,若有什么问题欢迎与我进行交流讨论
    by:慕若曦
    个人博客:http://www.muruoxi.pw


    白银星玩家
    百度星玩家累积成长值为1,去领取
    活动截止:2100-01-01
    去徽章馆》
    IP属地:甘肃2楼2016-06-11 11:09
    收起回复
      首先了解一下这种劫持的实质,这种劫持在快捷方式后面加启动参数,当浏览器的启动参数为网址时则认为以浏览器打开目标网站,故达到劫持主页的目标。
      实现加参数来启动,需要调用IShellLink和IPersistFile两个COM口,可以在HIPS里禁用这两个COM口达到禁止修改的目的。

      但是EAV的HIPS并没有COM口保护策略,EAV对HIPS的定义只是辅助。


      白银星玩家
      百度星玩家累积成长值为1,去领取
      活动截止:2100-01-01
      去徽章馆》
      IP属地:甘肃7楼2016-06-13 08:57
      回复
        由于该客户电脑只装了EAV,所以上述保护COM的思路行不通。
        变换思维,从快捷方式的修改原理出发,由于修改快捷方式的实质为:删除原快捷方式,创建新的快捷方式
        故在文件的创建上进行HIPS拦截


        白银星玩家
        百度星玩家累积成长值为1,去领取
        活动截止:2100-01-01
        去徽章馆》
        IP属地:甘肃8楼2016-06-13 09:00
        回复
          分析实质:
          创建新的快捷方式,调用头文件shobjidl.h里的IPersistFile中的函数load,其函数原型为:
          HRESULT Load(
          LPCOLSTR pszFileName, //快捷方式的文件名,ANSI字符编码
          DWORD dwMode //读取方式
          );
          dwMode可取如下值:STGM_READ:只读 STGM_WRITE:只写 STGM_READWRITE:读写
          通过IShellLink里的类成员GetArguments获取参数信息,使用SetArguments进行加载;同样,使用GetDescription获得描述信息;使用GetHotkey获得快捷键;使用GetIconLocation获得图标;使用GetIDList:获得快捷方式的目标对象的item identifier list;使用GetPath获得快捷方式的目标文件或目录的全路径;使用GetShowCmd获得快捷方式的运行方式;使用GetWorkingDirectory获得工作目录
          则改样本的执行方式为:
          (1) 初始化COM接口
          (2) 创建IShellLink对象
          (3) 从IShellLink对象中获取IPersistFile对象接口
          (4) 操作IPersistFile对象
          (5) 释放IPersistFile对象接口
          (6) 释放IShellLink对象
          (7) 释放COM接口


          白银星玩家
          百度星玩家累积成长值为1,去领取
          活动截止:2100-01-01
          去徽章馆》
          IP属地:甘肃本楼含有高级字体9楼2016-06-13 09:07
          回复
            启用规则,运行样本提示是否拦截,进行阻止

            说明规则正确


            白银星玩家
            百度星玩家累积成长值为1,去领取
            活动截止:2100-01-01
            去徽章馆》
            IP属地:甘肃11楼2016-06-13 09:36
            回复
              打开浏览器,一切正常,主页未被修改,细节化规则并保存退出。

              本帖完结


              白银星玩家
              百度星玩家累积成长值为1,去领取
              活动截止:2100-01-01
              去徽章馆》
              IP属地:甘肃12楼2016-06-13 09:39
              回复
                好详细哇~与牛氓战斗到底!学习了 ↖( ̄▽ ̄")


                13楼2016-06-13 13:18
                回复
                  龙宝宝就是厉害


                  来自Android客户端14楼2016-06-13 17:52
                  回复