傳言:首先在Vista上安裝另外一個(gè)操作系統(tǒng)���,接著是把Vista分區(qū)的Windows\System32\cmd.exe改名為Utilman.Exe,重新登錄Vista后在登錄界面按下“Win+U”組合鍵就會(huì)出現(xiàn)命令行�,輸入explorer就進(jìn)入了系統(tǒng)。
根據(jù)對(duì)此方法原理的分析����,我們認(rèn)為使用WinPE盤(pán)也可以實(shí)現(xiàn)相應(yīng)的目的。首先將Vista系統(tǒng)System32目錄中的Utilman.Exe文件刪除����,由于Vista系統(tǒng)特有的保護(hù)措施,這里我們使用了兩種刪除方法�����。
第一利用超級(jí)巡警推出的“文件暴力刪除工具(下載)”�����。運(yùn)行程序后點(diǎn)擊“添加文件”按鈕選擇Utilman.Exe���,然后點(diǎn)擊“暴力刪除”按鈕就可以完成刪除操作(圖1)��。第二是利用WinPE盤(pán)啟動(dòng)系統(tǒng)后���,利用WinPE系統(tǒng)的資源管理器命令,找到Utilman.Exe文件并進(jìn)行刪除操作�����。
圖1
接著復(fù)制一個(gè)命令提示符文件(C:\Windows\system32文件夾中的CMD.exe)�,將它直接在C:\Windows\System32目錄中改名為Utilman.exe。重新啟動(dòng)Vista系統(tǒng)�����。在出現(xiàn)Vista系統(tǒng)的登錄界面后���,按下“Win+U”組合鍵就會(huì)出現(xiàn)命令提示符窗口(圖2)�����。
圖2
現(xiàn)在���,在命令提示符窗口中中輸入explorer就可以進(jìn)入Vista系統(tǒng)��,這個(gè)時(shí)候獲得的控制權(quán)限也是最高的����。通過(guò)測(cè)試發(fā)現(xiàn)��,此時(shí)我們可以直接控制菜單中的程序�,打開(kāi)各種文件,運(yùn)行各種程序�,總之就和正常使用電腦差不多,唯一的區(qū)別就是不具備存儲(chǔ)權(quán)限����,不能夠?qū)π薷暮蟮奈募M(jìn)行保存(圖3)。不過(guò)在命令提示符窗口��,利用net user命令可以創(chuàng)建新的系統(tǒng)管理員賬戶(hù)�����,利用新的管理員賬戶(hù)就可以登錄到Vista桌面進(jìn)行一切操作�����。
圖3
漏洞原理分析
我們可以看到,整個(gè)操作之所以可以成功��,是因?yàn)閁tilman.exe文件被替換�。我們知道微軟的系統(tǒng)中�,有很多幫助殘障人士進(jìn)行操作的功能,比如放大鏡�����、粘滯鍵�����、閱讀器等功能�����,而UtilMan.Exe正好就是這些輔助工具的管理器程序����。
這些功能都能用專(zhuān)門(mén)的快捷鍵進(jìn)行激活,當(dāng)這些輔助功能的文件被替換后�����,Windows系統(tǒng)依然會(huì)按照默認(rèn)的設(shè)定激活指定的文件,因此替換后的文件就會(huì)被成功被激活�����。由于這些輔助功能在用戶(hù)未登錄前就可以調(diào)用���,這就導(dǎo)致了用戶(hù)可以在登錄界面中繞過(guò)登錄密碼驗(yàn)證����,成功登錄Vista系統(tǒng)��。
漏洞防范臨時(shí)解決方法
我們應(yīng)該如何防范這個(gè)漏洞呢��?此時(shí)����,我們可以使用病毒常使用的映像劫持方法。直接將Utilman.exe文件進(jìn)行劫持�����。只要以后用戶(hù)使用到這個(gè)文件或者叫這個(gè)名字的文件都會(huì)運(yùn)行我們指定的程序��。
映像劫持操作的方法有很多����,為了照顧普通用戶(hù)的需要���,我們可以從網(wǎng)上下載一款“Windows映像劫持利用程序”來(lái)進(jìn)行操作(注意,該程序會(huì)被殺毒軟件診斷為病毒)�����。程序運(yùn)行后����,按照程序的提示輸入選項(xiàng)1���,然后就可以根據(jù)向?qū)нM(jìn)行設(shè)置��。
設(shè)置完成選項(xiàng)1以后����,首先輸入需要劫持的文件名Utilman.Exe��。接著輸入鏡像劫持的路徑��,大家最好設(shè)置到一個(gè)無(wú)關(guān)緊要的軟件�����,我們這里設(shè)置的是記事本的路徑。最后回車(chē)就可以完成相應(yīng)的操作�����。
這樣以后當(dāng)用戶(hù)在再按下“Win+U”組合鍵���,準(zhǔn)備啟動(dòng)名字叫Utilman.Exe文件的時(shí)候��。系統(tǒng)就會(huì)根據(jù)映像劫持的設(shè)定���,用劫持路徑的文件來(lái)代替Utilman.Exe文件啟動(dòng)。由于其它的程序沒(méi)有辦法加載explorer�,因此也就無(wú)法登錄到系統(tǒng)的桌面。
總結(jié)
Vista系統(tǒng)的權(quán)限屏障被成功繞過(guò)���,但是我們也看到Vista自身的安全措施����,讓用戶(hù)在非法使用的過(guò)程中只能夠打開(kāi)文件而不具備對(duì)文件的存儲(chǔ)權(quán)限�����。但是Vista系統(tǒng)老是出現(xiàn)這樣低級(jí)的漏洞,不禁讓用戶(hù)感到害怕��。當(dāng)然���,對(duì)于普通用戶(hù)來(lái)說(shuō)��,這個(gè)漏洞也不是完全沒(méi)有利用的價(jià)值�����。如果用戶(hù)自己在忘記密碼的時(shí)候,該方法不失為臨時(shí)解決方案��。
