Bashware

前言

这个是针对windows 10的linux子系统,因为刚出来,所以杀软都没怎么监控这里面的东西,所以恶意软件就可以为所欲为了

具体bypass步骤

先看一个别人的图

1. 加载WSL组件

通过DISM加载 lxcore.sys 和 lxss.sys

2. 启用开发者模式

对下面两个注册表操作即可(都设置为1,我看我自己的机器上是1)

HKLM  SOFTWARE  Microsoft  Windows  CurrentVersion  AppModelUnlock  AllowAllTrustedApps

HKLM  SOFTWARE  Microsoft  Windows  CurrentVersion  AppModelUnlock  AllowDevelopmentWithoutDevLicense

3. 安装linux子系统

利用的是Lxrun这个程序,通过/install参数安装

4. 神器Wine

最后我们通过神器wine来运行我们的exe恶意程序,它会转化windows的系统调用为POSIX syscalls,而之后Pico (lxcore.sys)又将POSIX syscalls转回windows的系统调用。那么我们就可以运行任何的恶意代码了。。。。。。

因为方式比较新,所以基本的杀软都没关注这

参考

https://research.checkpoint.com/beware-bashware-new-method-malware-bypass-security-solutions/

【推广】 免费学中医,健康全家人
原文地址:https://www.cnblogs.com/cnsec/p/13286503.html