最近 Windows 7 里面的一個(gè)叫 AppLocker 的新功能在反病毒愛(ài)好者的圈子里比較流行。

如果你是一個(gè)安全專(zhuān)家，你會(huì)知道允許程序做些什么事情，是很危險(xiǎn)的，你也會(huì)知道什么程序該有什么功能，不該有什么功能。你希望得到的是一次設(shè)置，永無(wú)打擾的解決方案。Applocker對(duì)于安全專(zhuān)家來(lái)說(shuō)，不能不說(shuō)是相當(dāng)實(shí)用的。

圖2

Applocker的設(shè)置窗口

（不知道 AppLocker 是什么的請(qǐng)看：http://edge.technet.com/Media/Windows-7--AppLocker-Chinese/）

查閱了不少資料，發(fā)現(xiàn)其實(shí)這個(gè)功能是可以繞過(guò)的，但比原先的組策略要可靠的多。

傳統(tǒng)的組策略軟件限制（SRP）由父進(jìn)程通過(guò) CreateProcess -> CreateProcessInternalW -> BasepCheckWinSaferRestrictions 進(jìn)行驗(yàn)證。

Windows 7 中的 AppLocker（SLPv2）由一個(gè)驅(qū)動(dòng)程序 discache 以及一個(gè)系統(tǒng)服務(wù) AppIDSvc 聯(lián)合控制。

此程序在未提升權(quán)限的管理員賬戶下可繞過(guò) Windows 7 Ultimate 操作系統(tǒng)上的 AppLocker 軟件限制策略（SRPv2）執(zhí)行任意程序，
理論上還可以繞過(guò)傳統(tǒng)的組策略限制（SRP）執(zhí)行任意程序。

下載 DEMO 程序請(qǐng)前往 SkyDrive：http://cid-ad319598642e8326.skydrive.live.com/self.aspx/Public/Others/BypassRestrictions.zip

或者卡卡論壇：http://bbs.ikaka.com/showtopic-8687866.aspx

源代碼就不發(fā)了，查看源代碼的快捷鍵大家都知道。

參考：http://technet.microsoft.com/en-us/library/ee844115(WS.10).aspx