网页
资讯
视频
图片
知道
文库
贴吧
地图
采购
进入贴吧
全吧搜索
吧内搜索
搜贴
搜人
进吧
搜标签
日
一
二
三
四
五
六
签到排名:今日本吧第
个签到,
本吧因你更精彩,明天继续来努力!
本吧签到人数:0
一键签到
可签
7
级以上的吧
50
个
一键签到
本月漏签
0
次!
0
成为超级会员,赠送8张补签卡
如何使用?
点击日历上漏签日期,即可进行
补签
。
连续签到:
天 累计签到:
天
0
超级会员单次开通12个月以上,赠送连续签到卡3张
使用连续签到卡
12月23日
漏签
0
天
雷神校园团队吧
关注:
589
贴子:
3,127
看贴
图片
吧主推荐
游戏
14
回复贴,共
1
页
<返回雷神校园团队吧
>0< 加载中...
宝宝划船不靠浆-巧用HIPS拦截恶意软件劫持浏览器主页
只看楼主
收藏
回复
慕若曦
知名人士
10
该楼层疑似违规已被系统折叠
隐藏此楼
查看此楼
送TA礼物
IP属地:甘肃
1楼
2016-06-11 11:04
回复
慕若曦
知名人士
10
该楼层疑似违规已被系统折叠
隐藏此楼
查看此楼
本帖依雷神校园团队售后群内某客户的要求开帖演示,出现技术性错误还请原谅,若有什么问题欢迎与我进行交流讨论
by:慕若曦
个人博客:
http://www.muruoxi.pw
白银星玩家
百度星玩家累积成长值为1,
去领取
活动截止:2100-01-01
去徽章馆》
IP属地:甘肃
2楼
2016-06-11 11:09
回复(5)
收起回复
慕若曦
知名人士
10
该楼层疑似违规已被系统折叠
隐藏此楼
查看此楼
首先了解一下这种劫持的实质,这种劫持在快捷方式后面加启动参数,当浏览器的启动参数为网址时则认为以浏览器打开目标网站,故达到劫持主页的目标。
实现加参数来启动,需要调用IShellLink和IPersistFile两个COM口,可以在HIPS里禁用这两个COM口达到禁止修改的目的。
但是EAV的HIPS并没有COM口保护策略,EAV对HIPS的定义只是辅助。
白银星玩家
百度星玩家累积成长值为1,
去领取
活动截止:2100-01-01
去徽章馆》
IP属地:甘肃
7楼
2016-06-13 08:57
回复
收起回复
慕若曦
知名人士
10
该楼层疑似违规已被系统折叠
隐藏此楼
查看此楼
由于该客户电脑只装了EAV,所以上述保护COM的思路行不通。
变换思维,从快捷方式的修改原理出发,由于修改快捷方式的实质为:删除原快捷方式,创建新的快捷方式
故在文件的创建上进行HIPS拦截
白银星玩家
百度星玩家累积成长值为1,
去领取
活动截止:2100-01-01
去徽章馆》
IP属地:甘肃
8楼
2016-06-13 09:00
回复
收起回复
慕若曦
知名人士
10
该楼层疑似违规已被系统折叠
隐藏此楼
查看此楼
分析实质:
创建新的快捷方式,调用头文件shobjidl.h里的IPersistFile中的函数load,其函数原型为:
HRESULT Load(
LPCOLSTR pszFileName, //快捷方式的文件名,ANSI字符编码
DWORD dwMode //读取方式
);
dwMode可取如下值:STGM_READ:只读 STGM_WRITE:只写 STGM_READWRITE:读写
通过IShellLink里的类成员GetArguments获取参数信息,使用SetArguments进行加载;同样,使用GetDescription获得描述信息;使用
GetHotkey获得快捷键;使用GetIconLocation获得图标;使用GetIDList:获得快捷方式的目标对象的item identifier list;使用GetPath获得快捷方式的目标文件或目录的全路径;使用GetShowCmd获得快捷方式的运行方式;使用GetWorkingDirectory获得工作目录
则改样本的执行方式为:
(1) 初始化COM接口
(2) 创建IShellLink对象
(3) 从IShellLink对象中获取IPersistFile对象接口
(4) 操作IPersistFile对象
(5) 释放IPersistFile对象接口
(6) 释放IShellLink对象
(7) 释放COM接口
白银星玩家
百度星玩家累积成长值为1,
去领取
活动截止:2100-01-01
去徽章馆》
IP属地:甘肃
本楼含有高级字体
9楼
2016-06-13 09:07
回复
收起回复
慕若曦
知名人士
10
该楼层疑似违规已被系统折叠
隐藏此楼
查看此楼
启用规则,运行样本提示是否拦截,进行阻止
说明规则正确
白银星玩家
百度星玩家累积成长值为1,
去领取
活动截止:2100-01-01
去徽章馆》
IP属地:甘肃
11楼
2016-06-13 09:36
回复
收起回复
慕若曦
知名人士
10
该楼层疑似违规已被系统折叠
隐藏此楼
查看此楼
打开浏览器,一切正常,主页未被修改,细节化规则并保存退出。
本帖完结
白银星玩家
百度星玩家累积成长值为1,
去领取
活动截止:2100-01-01
去徽章馆》
IP属地:甘肃
12楼
2016-06-13 09:39
回复
收起回复
水为冰的眼泪
初级粉丝
1
该楼层疑似违规已被系统折叠
隐藏此楼
查看此楼
好详细哇~与牛氓战斗到底!学习了 ↖( ̄▽ ̄")
13楼
2016-06-13 13:18
回复
收起回复
碎花裙飘飘
活跃吧友
5
该楼层疑似违规已被系统折叠
隐藏此楼
查看此楼
龙宝宝就是厉害
来自
Android客户端
14楼
2016-06-13 17:52
回复
收起回复
登录百度账号
扫二维码下载贴吧客户端
下载贴吧APP
看高清直播、视频!
贴吧热议榜
1
盘点2024年度网络热梗
2811120
2
杀害河南女法官男子被判死刑
2514242
3
李铁已递交上诉书
2285164
4
台风帕布生成
2073114
5
如何评价原神玛薇卡动画短片
1964430
6
普京回应第三次世界大战
1789025
7
特朗普赞成TikTok继续在美运营
1341624
8
蔚来萤火虫回应大灯设计争议
1155382
9
海贼王弗兰奇动画新声优公布
1044604
10
国足将在杭州对阵澳大利亚
878451
贴吧页面意见反馈
违规贴吧举报反馈通道
贴吧违规信息处理公示