Bashware - 走看看

zoukankan html css js c++ java

Bashware
前言

这个是针对windows 10的linux子系统，因为刚出来，所以杀软都没怎么监控这里面的东西，所以恶意软件就可以为所欲为了

具体bypass步骤

先看一个别人的图

1. 加载WSL组件

通过DISM加载 lxcore.sys 和 lxss.sys

2. 启用开发者模式

对下面两个注册表操作即可（都设置为1，我看我自己的机器上是1）
```
HKLM  SOFTWARE  Microsoft  Windows  CurrentVersion  AppModelUnlock  AllowAllTrustedApps

HKLM  SOFTWARE  Microsoft  Windows  CurrentVersion  AppModelUnlock  AllowDevelopmentWithoutDevLicense
```
3. 安装linux子系统

利用的是Lxrun这个程序，通过/install参数安装

4. 神器Wine

最后我们通过神器wine来运行我们的exe恶意程序，它会转化windows的系统调用为POSIX syscalls，而之后Pico (lxcore.sys)又将POSIX syscalls转回windows的系统调用。那么我们就可以运行任何的恶意代码了。。。。。。

因为方式比较新，所以基本的杀软都没关注这

参考

https://research.checkpoint.com/beware-bashware-new-method-malware-bypass-security-solutions/
查看全文

相关阅读:
LeetCode——4Sum
LeetCode——3Sum
LeetCode——Longest Repeating Character Replacement
LeetCode——Longest Palindromic Subsequence
LeetCode——Longest Word in Dictionary through Deleting
剑指Offer——丑数
 剑指Offer——最长不包含重复字符的子字符串
 剑指Offer——把数组排成最小的数
 LAMP第四部分mysql操作
 LAMP第三部分php,mysql配置

原文地址：https://www.cnblogs.com/cnsec/p/13286503.html

Copyright © 2011-2022 走看看