事件查看器被用于繞過Windows 7/10系統UAC安全功能

編輯: 來源:U大俠 時間:2016-08-17

  借助Windows 10磁盤清理工具的高權限,惡意攻擊者可以將DLL(動態鏈接庫)文件拷貝到一個不安全的位置。由于不被UAC所標識,其能夠發起DLL劫持式攻擊。

Windows 10
Windows 10

  而在今天發布的報告中,兩名研究人員結合了無需向文件系統拖動和注入DLL文件的兩種方法:這涉及錯綜復雜的Windows注冊表鍵值,最終可被事件查看器進程(eventvwr.exe)所查詢,觸發一個高完整性進程的隱藏操作——比如可被UAC所允許通過的事件查看器(被誤以為是一種無害的操作)。

  當然,這種類型的UAC迂回攻擊是有方法阻止的。兩名研究人員稱,這是一種獨特的、此前從未見過的繞過UAC的技術(此前多依賴于進程劫持、特權文件復制、或刪除用戶PC上的文件)。

  如果將UAC級別設置為“始終通知”、或者將當前用戶移出“本地管理員”群組,那這類攻擊都可被UAC所提醒。

  此外,如需監測此類攻擊,也可利用簽名方法來查找/警示新的注冊表條目(特別是在 HKCUSoftwareClasses 下面)。

  微軟并非將UAC當做是一個“真正的安全特性”,但惡意軟件開發者們顯然都希望不觸發提示,以便靜悄悄地潛伏進入受害者的PC。

分享:

Copyright ? 2012. All Rights Reserved.

廈門易天下網絡科技有限公司版權所有 - 關于我們- 聯系我們

閩公網安備 閩公網安備 35020302001562號 閩ICP備11010938號-4

用戶交流群

129073998   376387102(滿)   418834720(滿)    99610370(滿)   150438190(滿)

U大俠官方群⑤

掃一掃

U大俠官網

色和尚 -无码av免费区 -成人三级片 -日韩在线av免费视久久 -得得的在爱在线观看视频