Andy Melnikov (nponeccop) wrote,
Andy Melnikov
nponeccop

Category:

Анти-мимикац

https://www.youtube.com/watch?v=K21J5X4HO04

Есть тулза, под названием mimikatz, позволяющая под виндой при наличии административных прав извлекать из памяти плейнтекст-пароль текущего юзера (ну и ещё кучу аналогичных гадостей для атаки в домене).

MS, как оказалось, ответили фичей Isolated User Mode, которую в 10-ке можно включить через Programs and features.

Но не подумав, включать не стоит, т.к. при этом включается Hyper-V и соответственно пропадает возможность пускать сторонние виртуалки (вмварь-виртуалбокс).

У меня Hyper-V и так включён. При его включении хост-винда перестаёт быть "аппаратной" и технически становится привилегированным гостем и работает поверх гипервизора а ля Xen Dom0.

При включении Isolated User Mode появляется второй очень маленький гость, в котором MS запилили своего рода оракул, держащий секреты, и с которым основное ядро общается по RPC. Таким образом, у основного ядра пропадает прямой доступ к своим секретам, и тулзы типа мимикаца ничего извлечь не могут.

Своего-рода микрокернел из говна и палок, прикрученный изолентой к основному монолитному (в плане единого адресного пространства) ядру.
Tags: programming, до чего техника дошла
Subscribe

  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 3 comments