绕过2003域中软件限制功能

这里介绍了2003中的软件限制功能,并且也介绍了如何绕过软件限制的过程.

Windows 2003 中默认软件限制策略是没有启用的. 这里我们创建软件限制策略.

这就是创建软件限制策略后, 这里可以设置强制策略,指派的文件类型(比如: exe com bat vbs),受信任的发布者… 等等相关的策略. 在这里不做介绍.

在其他规则中,我们可以按照我们自己的要求来做一些规则的设定. 比如: 证书规则,哈希规则,internet区域规则… 等等. 在这里我们介绍哈希规则. 我们新建哈希规则…

利用哈希规则我们可以禁止用户访问相关文件类型,比如: DLL, EXE,COM,BAT等.
这此我们要利用哈希规则禁止用户使用QQ. 点击浏览…

选择QQ的相关程序.

这里我们可以看到,通过哈希算法得到的哈希值. cd6438f9ed56809d5cfba2c51f0abb68:1736704:32771
软件限制的关键就是在于哈希值.通过哈希值来判断所运行的文件是否是我们想要限制的文件. ISA中的缓存技术就用到了哈希算法. 在文件信息中可以看到关于文件的相关信息.

这是组策略执行以后,运行程序得到的结果. 已经限制了,程序已经没有办法在打开了. 并且日志中有相关资料:

事件类型: 警告
事件来源: Software Restriction Policy
事件种类: 无
事件 ID: 868
日期: 2003-12-29
事件: 14:09:20
用户: DEKE/Administrator
计算机: A1
描述:
您的管理员用策略规则 {dbb3a71f-b272-4683-ba4b-140be9f199ca} 限制了您对 C:/Program Files/Tencent/QQ/QQ.exe 的访问。

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。

以上都是软件限制策略中的其中一部分功能而已. 本人认为这个软件限制策略是一项非常好的功能,可以限制局域网内特定程序的运行,而且还增强了网络的安全性.

但是,我突然有一个想法,就是如何能够绕过软件限制,运行被限制的软件.
在这里我的思路是通过改写软件的哈希值,来达到绕过软件限制的目的.

因为软件限制使用了哈希算法,我们要想使用软件的话,只能改变被限制软件的哈希值.改变软件哈希值的方法很多,这里我的方法是通过 aspack 2.12 软件来重新压缩程序.

选择相关文件.

进行压缩.

这是压缩的结果. 这里有两个QQ.EXE文件,一个是已经压缩的,一个是源文件. QQ.EXE QQ.EXE.BAK
我现在把源文件重新命名并还原.

这是压缩后的QQ.EXE

这是压缩前的QQ.EXE

这个QQ.EXE的源文件,还是无法运行.

这是压缩后的QQ.EXE, 可以运行了!

说明:
因为条件有限,以上试验难免有疏漏之处,请大家多多原谅. 希望可以抛砖引玉.

相关链接:
利用组策略实现软件安全性 http://club.sob8.com/read-htm-tid-40975.html