|
注意:部分PoC使用了知名的泄露证书(比如:“HT SRL”等)进行签名,微软在最新的系统上已经将这些证书拉黑。如果您发现驱动无法加载,请使用没有被微软拉黑的证书给驱动重新进行签名,或使用signtool工具移除驱动的签名后再关闭DSE进行测试。
在《WIN64教程》里,我讲述了如何使用WFP实现监控网络连接。不过教程里的WFP例子能被ARK工具枚举出Filter和Callout(因此你设置的拦截器可以被干掉)。而这个PoC实现了禁止访问指定域名,而且ARK找不到来自你的程序的Filter和Callout(我使用了WIN64AST、Windows Kernel Explorer和PCHUNTER-VIP测试,均未发现)。此PoC无硬编码,支持VISTA之后所有的系统。值得一提的是,这个PoC有应用程序版和驱动程序版,均可独立工作,适用于不同的场景。合法使用场景:OA软件在工作机器上禁止员工访问游戏/视频/购物网站;非法使用场景:Malware拦截安全软件访问“云安全中心”躲避“云查杀”。
技术亮点:
1、无WFP-FILTER和WFP-CALLOUT(或者说主流ARK工具都找不到)。
2、驱动版本实现了在内核里转换域名到IP地址(gethostbyname)。
测试方法:
1、加载驱动程序BlockDomain32.sys或者运行应用程序BlockDomain32.exe。
2、在浏览器里输入论坛网址(www.m5home.com/bbs),论坛无法被打开。卸载驱动程序或者关闭应用程序后,论坛可以被打开。 |
|