前言
這個是針對windows 10的linux子系統,因爲剛出來,所以殺軟都沒怎麼監控這裏面的東西,所以惡意軟件就可以爲所欲爲了
具體bypass步驟
先看一個別人的圖
1. 加載WSL組件
通過DISM加載 lxcore.sys 和 lxss.sys
2. 啓用開發者模式
對下面兩個註冊表操作即可(都設置爲1,我看我自己的機器上是1)
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ AppModelUnlock \ AllowAllTrustedApps
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ AppModelUnlock \ AllowDevelopmentWithoutDevLicense
3. 安裝linux子系統
利用的是Lxrun這個程序,通過/install參數安裝
4. 神器Wine
最後我們通過神器wine來運行我們的exe惡意程序,它會轉化windows的系統調用爲POSIX syscalls,而之後Pico (lxcore.sys)又將POSIX syscalls轉回windows的系統調用。那麼我們就可以運行任何的惡意代碼了。。。。。。
因爲方式比較新,所以基本的殺軟都沒關注這
參考
https://research.checkpoint.com/beware-bashware-new-method-malware-bypass-security-solutions/