01
阅读须知
此文所节选自小报童《.NET 内网实战攻防》专栏,主要内容有.NET在各个内网渗透阶段与Windows系统交互的方式和技巧,对内网和后渗透感兴趣的朋友们可以订阅该电子报刊,解锁更多的报刊内容。
02
基本介绍
本文内容部分节选自小报童《.NET 通过定制化的策略文件绕过 Windows Defender》,完整的文章内容请加入小报童后订阅查看。现在限时只需59元,永久买断!目前已有300+位朋友抢先预定,我们会长期更新,对.NET内网安全的朋友们请尽快订阅该报刊!
03
原理分析
3.1 什么是WDAC
WDAC,全称 Windows Defender Application Control,是微软在 Windows 10 及后续版本中引入的一项高级安全功能。它的核心用途是: 只允许经过授权的应用程序和代码在系统上运行, 阻止所有未被授权的文件执行,无论这些文件是恶意的还是意外引入的,并且允许管理员制定精细的应用程序运行规则,提升设备的整体安全性。
WDAC 的工作原理大致可以分为三部分,首先,通过扫描系统,收集受信任程序的签名或哈希信息,策略以 XML 文件或编译后的 .p7b 文件形式存在,比如 SiPolicy.p7b。
接着,将策略文件放置到系统指定路径,这里的策略需要重启系统后才能生效。
C:WindowsSystem32CodeIntegritySiPolicy.p7b
当用户或系统尝试执行某个程序时,WDAC 内核组件会检查其是否符合策略要求,不符合条件的程序被直接阻止,无法运行。
3.2 安装可视化工具
WDAC Wizard 是托管在 Azure 上的轻量版工具,所以直接访问即可使用,微软提供的在线访问页面为: https://webapp-wdac-wizard.azurewebsites.net/ 安装过程需要满足 Windows 10 专业版、企业版或者 Windows 11系统,如下图所示。
3.3 Code Integrity
Code Integrity 表示代码完整性,是 Windows 从 Vista 开始引入的一项安全机制,主要目的是:在系统启动或应用程序加载时,验证二进制文件的签名是否有效。从 Windows 10 开始,Code Integrity 的机制不断加强,比如新增了 Device Guard、WDAC等,而专门负责这部分功能的数据文件、策略文件、日志文件等,都会集中存放在如下系统目录里。
可以在 CodeIntegrity 目录下看到的一些文件,比如 SiPolicy.p7b,该文件是系统应用的应用控制(WDAC)策略文件,决定了哪些程序能运行。又比如 BootSiPolicy.p7b,该文件是系统启动阶段使用的策略文件,比 SiPolicy.p7b 更早生效。
Get-Command New-CIPolicy
04
欢迎加入.NET 电子报刊
我们的小报童电子报刊【.NET内网安全攻防】也开始运营,引入小报童也是为了弥补知识星球对于轻量级阅读支持的不足,为用户读者提供更佳的阅读体验。如果您对阅读体验的需求比较高,那么可以订阅这个专栏。
本次电子报刊《.NET 内网安全攻防》专栏,内容主要有.NET在各个内网渗透阶段与Windows系统交互的方式和技巧,可细分为以下8个方向。
1) .NET 安全防御绕过2) .NET 本地权限提升3) .NET 内网信息收集4) .NET 内网代理通道5) .NET 内网横向移动6) .NET 目标权限维持7) .NET 数据传输外发8) .NET 目标痕迹清理原价899,现在限时只需59元,永久买断!目前已有280+位朋友抢先预定,我们会长期更新,初步计划保持每周更新1-2篇新内容,对.NET内网安全的朋友们请尽快订阅该报刊!
每增加五十人涨价10元,抓紧订阅,超值!订阅后请关注公众号:dotNet安全矩阵,发送订单截图和您的微信号,邀请您加入专属交流群。感兴趣的朋友,可以点击链接:https://xiaobot.net/p/dotNetAttack,或者扫描下方海报微信二维码加入即可,订阅后小报童定时会将最新内容通过微信推送给您。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...