Cita:
|
Empezado por roman
¿Cuál sería la vulnerabilidad del primer método?
|
Lo que ejecute desde la consola, o aplicaciones que creen otros procesos, como servicios, etc.. no son ejecutados mediante el shell
Cita:
|
En cuanto al segundo método, no me queda claro cómo funcionaría. Es decir, ¿qué impide que yo le ponga un nombre "aceptado" a una aplicación y ejecutarla?
|
Ya que estamos interceptando el proceso en su momento de creación por código, podríamos tener una lista con algun tipo de hash de los archivos para identificar si son los admitidos. Sino caeríamos en lo mismo que desde las políticas.
Saludos!