MOTW Bypass

你或许在从互联网上下载一些可执行文件并执行它们时看到过此屏幕。

这个东西叫Microsoft Defender SmartScreen 是一种安全机制，旨在保护最终用户免于运行潜在的恶意应用程序。

SmartScreen 主要采用基于信誉度的方法，这意味着不常下载的应用程序将触发 SmartScreen，从而警告并阻止最终用户执行该文件（尽管仍然可以通过单击更多信息 -> 运行来执行该文件）。

那具体怎么判断信誉度呢？
Windows使用web标记(MotW)来指示文件来自Internet，本质是一个名为 Zone.Identifier 的NTFS 备用数据流，它是在从互联网下载文件时自动创建的，同时会附带下载文件的 URL。防病毒(AV)和端点检测和响应(EDR)产品可以使用此信息来进一步检测
使用dir /R + more查看此信息

Microsoft 为浏览器、电子邮件客户端等提供了IAttachmentExecute 接口，用于写入Zone.Identifier流，Chrome 浏览器与 IAttachmentExecute 交互的示例可在https://chromium.googlesource.com/chromium/src/+/6ab174bd663c2e6ef4e620eee1af40c6adcfa399/components/download/quarantine/quarantine_win.cc找到。
当调用AssocIsDangerous函数并返回 true时，扩展程序被视为高风险，以下扩展程序默认被视为高风险：

.ade, .adp, .app, .asp, .cer, .chm, .cnt, .crt, .csh, .der, .fxp, .gadget, .grp, .hlp, .hpj, .img, .inf, .ins, .iso, .isp, .its, .js, .jse, .ksh, .mad, .maf, .mag, .mam, .maq, .mar, .mas, .mat, .mau, .mav, .maw, .mcf, .mda, .mdb, .mde, .mdt, .mdw, .mdz, .msc, .msh, .msh1, .msh1xml, .msh2, .msh2xml, .mshxml, .msp, .mst, .msu, .ops, .pcd, .pl, .plg, .prf, .prg, .printerexport, .ps1, .ps1xml, .ps2, .ps2xml, .psc1, .psc2, .psd1, .psm1, .pst, .scf, .sct, .shb, .shs, .theme, .tmp, .url, .vbe, .vbp, .vbs, .vhd, .vhdx, .vsmacros, .vsw, .webpnp, .ws, .wsc, .wsf, .wsh, .xnk

MotW 用作备用数据流 (ADS)的底层支持是 NTFS 文件系统，为了绕过此安全功能，可以使用不支持 NTFS 的容器文件格式，如ISO或VHD文件。
PackMyPayload是一种将程序打包到输出容器中以逃避 Mark-of-the-Web 的非常棒的工具。

原文始发于微信公众号（老鑫安全）：MOTW Bypass