[TITOLO]Lockdown Browser Bypass (Windows)[/TITOLO]
EN: In the attachment there's an English readme on how to use it. All the comments in the source code are in English.
Ho soprannominato il tool "LockdownEnough", lo rilascio totalmente opensource, scritto in C++. Non e' specifico solo per quel programma, bensi' e' capace tramite una hotkey di lanciare un programma che, se provvisto di interfaccia grafica, sovrasta (quasi) qualunque finestra, anche se questa e' impostata per stare in cima alle altre ed a schermo intero. Dico quasi perche' ci sono eccezioni rare ma e' giusto fare la precisazione.
Il succo del programma risiede in questa funzione:
C++:
void SetWindowTopMost(HWND hwnd, BOOL bEnable)
{
HWND topMostState = (bEnable ? HWND_TOPMOST : HWND_NOTOPMOST);
HWND bringToFront = (bEnable ? HWND_TOP : HWND_BOTTOM);
UINT uFlags = (SWP_NOACTIVATE | SWP_NOMOVE | SWP_NOREDRAW | SWP_NOSENDCHANGING | SWP_NOSIZE);
SetWindowPos(hwnd, topMostState, 0, 0, 0, 0, uFlags);
SetWindowPos(hwnd, bringToFront, 0, 0, 0, 0, uFlags);
}Che attiva/disattiva la modalita' TopMost dato l'handle di una finestra e la spedisce di fronte o in fondo all'asse Z.
Il programma si dirama in due sezioni principali:
- Installa un hook della tastiera (che nella coda viene prima di quello di LockdownBrowser.dll)
EXIT_HOTKEYpremuto (di default NumPad 9)- Chiude il programma
START_HOTKEYpremuto (default NumPad 1)- Imposta l'attuale finestra attiva come quella da mandare in fondo all'asse Z
- Legge il comando scritto in config.txt
- Esegue il comando tramite CreateProcess
- Aggiunge il ProcessID nella whitelist da monitorare
- Esegue una continua enumerazione delle finestre di Windows
- Manda in fondo la finestra "bad" a schermo intero
- Cerca le finestre che appartengono ai processi in whitelist
- Le mette in TOPMOST e in primo piano
- Rimuove il titolo della finestra
Il tool e' compilato sia a 32 che a 64 bit - usate la stessa architettura del programma da lanciare. La config di esempio ha dentro il percorso di default di Mozilla Firefox, come vedete nella GIF sopra, per funzionare correttamente se Firefox e' a 64 bit dovete lanciare LockdownEnough64.exe - questo e i vari step in ordine sono presenti nel readme bi-lingue.
Non rilascero' una versione per MacOS.
Gli eseguibili potrebbero causare dei falsi positivi per gli antivirus: in fondo un software senza GUI che fa hook della tastiera e scorre le finestre non e' comunissimo.
ATTENZIONE: non mi assumo nessuna responsabilita' per l'uso che se ne fa, come vedete il source e' del tutto generico, senza fare alcun riferimento a determinati programmi ed e' stato creato per una ricerca sulla sicurezza di programmi che usano questa tecnica ed individuare/testare eventuali contromisure. Non voglio vedere commenti di persone che dicono che sono stati ammoniti, bannati, beccati o altro. Ricordate che un software puo' essere aggiornato e trovare una via per resistere o "sgamare" questo trick.
Download
