绕过安全模式,加载驱动

在安全模式加载驱动

说明:技术仅供学习使用,如恶意利用,与作者无关!

最近,我试图弄清楚如何以Windows安全模式启动其他服务。我有一个用户,他的笔记本电脑在登录时一直崩溃,我快速浏览了一下,想到了一些理论,但是正常运行时间很重要,因此,作为一个临时解决方法,我将其设置为具有网络安全模式。

几天后,用户致电并希望能够以安全模式进行打印。我调查了一下,进行了一些搜索,但是普遍的智慧似乎是这是行不通的。在我看来,这听起来像是MCP派对热线,所以我决定浏览注册表。最终,我找到了 HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control 键,它具有最小和网络子键。最小为安全模式,网络为带网络的安全模式。它似乎是允许启动或加载的服务,驱动程序和驱动器组的白名单。

因此,可以在安全模式下启动其他服务并加载其他驱动程序–只需为服务或驱动程序简称添加一个密钥,然后为类型添加一个字符串。下面的条目(如果在.reg文件中)将允许后台打印程序以网络安全模式启动。

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Spooler]
@="Service"

如果要以正常模式启动的所有驱动程序,驱动程序组和服务及其对应的短名称的列表,请检查 HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services

我警告不要将白名单过多,因为它会破坏安全模式的目的,尽管在某些情况下,将其作为快速技巧很有用。下次您要处理特别讨厌的恶意软件感染时,也可能值得检查一下。我还没有发现任何可以利用它的东西,但是我想有些东西可以利用它。

结尾

代码已经贴出,没有很多,就不放下载链接了qwq
如遇任何问题,可以加我QQ:2513881812
喜欢的话不妨打赏一下[滑稽]


   转载规则

请联系作者付费转载。
 上一篇
一些对学习WINDOWS内核编程有帮助的国外站点(不断更新) 一些对学习WINDOWS内核编程有帮助的国外站点(不断更新)
查资料:http://msdn.microsoft.com(谷歌搜索关键字,后加site:msdn.microsoft.com) 源码站:https://github.comhttp://www.codeproject.comhttp://
2020-04-01
下一篇 
驱动级操作进程 驱动级操作进程
在内核里操作进程说明:技术仅供学习使用,如恶意利用,与作者无关! 在内核里操作进程,相信是很多对 WINDOWS 内核编程感兴趣的朋友第一个学习的知识点。但在这里,我要让大家失望了,在内核里操作进程没什么特别的,就标准方法而言,还是调用那几
2020-03-20
  目录