Bashware - Bypass 杀毒软件的新方法

前言

这个是针对windows 10的linux子系统，因为刚出来，所以杀软都没怎么监控这里面的东西，所以恶意软件就可以为所欲为了

具体bypass步骤

先看一个别人的图

1. 加载WSL组件

通过DISM加载 lxcore.sys 和 lxss.sys

2. 启用开发者模式

对下面两个注册表操作即可（都设置为1，我看我自己的机器上是1）

HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ AppModelUnlock \ AllowAllTrustedApps

HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ AppModelUnlock \ AllowDevelopmentWithoutDevLicense

3. 安装linux子系统

利用的是Lxrun这个程序，通过/install参数安装

4. 神器Wine

最后我们通过神器wine来运行我们的exe恶意程序，它会转化windows的系统调用为POSIX syscalls，而之后Pico (lxcore.sys)又将POSIX syscalls转回windows的系统调用。那么我们就可以运行任何的恶意代码了。。。。。。

因为方式比较新，所以基本的杀软都没关注这

参考

https://research.checkpoint.com/beware-bashware-new-method-malware-bypass-security-solutions/