繞過2003域中軟件限制功能

這里介紹了2003中的軟件限制功能,并且也介紹了如何繞過軟件限制的過程.



Windows 2003 中默認軟件限制策略是沒有啟用的. 這里我們創建軟件限制策略.



這就是創建軟件限制策略后, 這里可以設置強制策略,指派的文件類型(比如: exe com bat vbs),受信任的發布者… 等等相關的策略. 在這里不做介紹.



在其他規則中,我們可以按照我們自己的要求來做一些規則的設定. 比如: 證書規則,哈希規則,inte.net區域規則… 等等. 在這里我們介紹哈希規則. 我們新建哈希規則…



利用哈希規則我們可以禁止用戶訪問相關文件類型,比如: DLL, EXE,COM,BAT等. 
這此我們要利用哈希規則禁止用戶使用QQ. 點擊瀏覽…



選擇QQ的相關程序.



這里我們可以看到,通過哈希算法得到的哈希值. cd6438f9ed56809d5cfba2c51f0abb68:1736704:32771
軟件限制的關鍵就是在于哈希值.通過哈希值來判斷所運行的文件是否是我們想要限制的文件. ISA中的緩存技術就用到了哈希算法. 在文件信息中可以看到關于文件的相關信息.



這是組策略執行以后,運行程序得到的結果. 已經限制了,程序已經沒有辦法在打開了. 并且日志中有相關資料:

事件類型: 警告
事件來源: Software Restriction Policy
事件種類: 無
事件 ID: 868
日期:  2003-12-29
事件:  14:09:20
用戶:  DEKE\Administrator
計算機: A1
描述:
您的管理員用策略規則 {dbb3a71f-b272-4683-ba4b-140be9f199ca} 限制了您對 C:\Program Files\Tencent\QQ\QQ.exe 的訪問。

有關更多信息，請參閱在 http://go.microsoft.com/fwlink/events.asp 的幫助和支持中心。

以上都是軟件限制策略中的其中一部分功能而已. 本人認為這個軟件限制策略是一項非常好的功能,可以限制局域網內特定程序的運行,而且還增強了網絡的安全性. 

但是,我突然有一個想法,就是如何能夠繞過軟件限制,運行被限制的軟件.
在這里我的思路是通過改寫軟件的哈希值,來達到繞過軟件限制的目的.




因為軟件限制使用了哈希算法,我們要想使用軟件的話,只能改變被限制軟件的哈希值.改變軟件哈希值的方法很多,這里我的方法是通過 aspack 2.12 軟件來重新壓縮程序. 



選擇相關文件.



進行壓縮.



這是壓縮的結果. 這里有兩個QQ.EXE文件,一個是已經壓縮的,一個是源文件. QQ.EXE QQ.EXE.BAK
我現在把源文件重新命名并還原.





這是壓縮后的QQ.EXE



這是壓縮前的QQ.EXE



這個QQ.EXE的源文件,還是無法運行. 



這是壓縮后的QQ.EXE, 可以運行了!




說明:
因為條件有限,以上試驗難免有疏漏之處,請大家多多原諒. 希望可以拋磚引玉.

原文轉自：http://www.kjueaiud.com