白名单程序的另类思考

前言：白名单程序的另类思考

笼统的划分程序，那么在规避av的时候程序可以分为如下两种

1、白名单

2、黑名单

继续走，成为白名单的因素？

1、知名公司的数字签名，受到杀毒官方的关注并且记录

2、微软自身的签名

继续走，白名单中的程序是否又可以被划分？

1、被多次恶意利用而造成杀毒关注的白名单程序

2、没有受多大关注的白名单程序

继续走，如何利用白名单的程序？

1、白名单软件的dll白加黑劫持

2、白加黑，比如单层rundll.dll.exe加载一个黑dll

继续走，白名单还能如何挖掘和绕过？

1、程序是否可以嵌套白加黑？比如rundll.exe被一个白名单的程序所加载

2、对于被杀毒收录的白名单软件程序，这些软件程序是否存在一个自带的敏感功能，如文件下载？解压文件？运行程序？命令执行？

继续走，一些安全程序限制的某些敏感的程序执行，如何绕过？

稍微举个例子，云锁带有敏感程序/白名单程序的执行，那么它是否禁止了所有的白名单执行？是否有去考虑云锁自带的白名单程序？比如7z.exe？那么是否就可以进行突破提权？

继续举个例子，比如avast杀毒软件，它自身自带的程序是否存在一些可以进行敏感操作的程序？存在一个文件下载的白名单程序，大家可以自己去看看

posted @ 2020-12-10 22:36 zpchcbd 阅读(113) 评论(0) 编辑收藏举报

刷新页面返回顶部

登录后才能查看或发表评论，立即登录或者逛逛博客园首页

相关博文：

· msiexec白程序攻击链路

· sfish 基于白加黑钓鱼加载器利用工具

· dumphash bypass杀软的多种方式

· 『免杀』白加黑

记录部分个人学习和部分实战的笔记我会慢慢补全部分空白的文章 :)