花式绕过McAfee本地防护规则

花式绕过McAfee本地防护规则

愣娃 嘶吼专业版

如今，许多企业或组织都会通过使用受限的windows环境来缓解***。为了加强系统，会把很多功能都限制或者取消了，能使用的功能越来越少。

最近做***时，我发现有系统利用McAfee Solidcore保护，Solidcore可阻止用户对系统进行任何更改，如安装/卸载软件，运行可执行文件，启动应用程序等。

我所测试的系统（Windows 7）被系统管理员设置了登录密码，因此除了访问登录界面和重启系统外，我无法访问该系统任何其他的功能。

为此，我花了近一个礼拜的时间来收集关于该应用和系统的信息，其中包括使用社会工程学的手段。最终，我通过Google dork获取到了管理员的登录凭据。

成功登录目标系统后，我发现主机的大多数功能依旧无法被正常访问。该应用程序设计得非常的好，对用户的访问权限做了较为严格的管控。

但该应用程序有一个选项允许用户打印文档，这意味着我们可以访问主机的文件资源管理器。

Print-->printer settings-->add a printer-->location-->browse location

每个Windows文件浏览器都有一个Windows帮助选项，可以从帮助选项打开命令提示符。

在调出cmd后，在cmd中依旧无法正常访问一些其他的Windows应用，并且也无法在系统中做任何更改操作（即使是打开一个记事本）。每当我试图打开某个应用时，均会出现以下报错信息：

从报错信息可以看出应用程序被Solidcore阻止，我对此并没有任何访问权限。我们需要从注册表或组策略编辑器中才能启用它。但由于Solidcore的限制，我使用以下批处理脚本修改注册表项并启用任务管理器（虽然我并不确定，报错的真正原因是否和注册表或组策略编辑器有关）

在成功执行批处理脚本后，我获取到了任务管理器以及控制面板的访问权限。我的主要目的是禁用或卸载Solidcore，但一切并没有我想象的那么轻松，Solidcore依旧无法被禁用或卸载（其他软件可被正常禁用或卸载）。

然后，只有一种方法禁用Solidcore /启用其他软件的安装，这是“ 组策略编辑器”。但是我没有直接访问gpedit。我用下面的方法来访问gpedit：

Open Task manager-->File -->New task-->Type MMC and enter

打开微软管理策略

In mmc File-->Add/Remove snap-in--> Select Group Policy Objects and click on add

现在，我能够执行许多操作，例如启用被锁定的系统应用、访问桌面、禁用Windows限制等等。如上所述，我的主要目的是禁用Solidcore，并在系统上运行任何windows的可执行性文件。

组策略编辑器提供了运行/锁定Windows软件的选项。设置如下：

Group Policy editor-->User Configuration > Administrative Templates > System

在右选项框有一个“不要运行特定windows应用程序”的选项。点击它：

Edit-->Select Enabled-->Click on show list of disallowed applications--> 然后添加你想要锁定的应用名称(这里我填的是solidcore)。然后点击"Ok"。

为了使更改生效，我重启了系统。同样，你也可以使用该方法在windows上运行一些其他的软件（例如恶意软件等）。

标签：访问,--,禁用,系统,McAfee,Windows,绕过,Solidcore,花式
来源： https://blog.51cto.com/u_15127538/2716754