UAC и разграничение прав.

NEMO · 04-05-12 23:23:17

Попробуйте на любом форуме вспомнить про UAC или учетную запись пользователя, как на вас налетит куча "экспертов", рассказывающих о том, что это всё давно взломано, и бубнящих заклинания на повышение прав. На просьбу предоставить доказательства эти люди поведают вам о просвещении, полученного из исходников Зевса, расскажут(но не покажут, проверено) о сотне вирусов, проходящих сквозь защиту, или просто плавно поменяют значение своего канала прозрачности до нуля, элегантно исчезая из виду.
Вроде проблема очевидна: всего два слова способны распылить на атомы сказки про червивую и дырявую винду, значит надо бороться с этой информацией, называя её чушью, а носителя - ламером, и приводить тысячи "неоспоримых" доказательств от бабы Мани. Но вот порой они говорят так убедительно, будто что-то знают. Давайте, люди, выкладывайте свои секретные методы обхода дырявой защиты, а мы посмотрим, насколько количество этих методов будет отлично от нуля и насколько они окажутся практичными.

Отредактировано NEMO (04-05-12 23:48:10)

beep · 04-05-12 23:33:35

большенство с них ламеры и у них СИ это превыше всего, один мою почту ломает на рамблере уже средствами СИ больше года. Ахереть сейчас хакеры.

А обезательно ломать винду ? Можно и пальцы ломать юзеру венды, руки или шею ? Мне так проще просто big_smile

Отредактировано beep (04-05-12 23:33:57)

UPS · 04-05-12 23:35:58

NEMO пишет:

Давайте, люди, выкладывайте свои секретные методы обхода дырявой защиты, а мы посмотрим, насколько количество этих методов будет отлично от нуля и насколько они окажутся практичными.

Есть один провереный способ!
Cтавишь какую нибудь самосборную прогу типа Тotal Best 2012 где при установке уже стоит галочка smile отключать UAC big_smile Все что ставится после этого уже не имеет значения.
Еще репаки и подобное для своей деятельности требуют админ прав поэтому пользователь и сидит под рутом. Cписок можно продолжить.
Вот неплохая статья- habrahabr.ru/company/xakep/blog/122272/
и дочитав до конца понятно, что если пользователь сам галочку не поставит smile то и кроличьих норок уже нет.

Отредактировано UPS (04-05-12 23:52:37)

NEMO · 05-05-12 00:03:43

UPS пишет:

Вот неплохая статья- habrahabr.ru/company/xakep/blog/122272/

Анализ полезности говорит ноль, поскольку в статье пример эксплуатации закрытой уязвимости. Как всегда страдают только слоупоки.

Отредактировано NEMO (05-05-12 00:04:14)

UPS · 05-05-12 00:06:38

NEMO пишет:

поскольку в статье пример эксплуатации закрытой уязвимости. Как всегда страдают только слоупоки.

Ну я же дочитав до конца так и написал

дочитав до конца понятно, что если пользователь сам галочку не поставит smile то и кроличьих норок уже нет.

smile Уже даже устал ждать эпидемии какой то ( а линуксоиды постоянно пугают) big_smile

Отредактировано UPS (05-05-12 00:10:32)

Раздолбай · 05-05-12 00:30:39

Ну, справедливости ради стоит сказать, что нашумевшие в последнее время "блокировщики Венды" вполне себе "обходят" UAC, прописывая себя в качестве шелла в разрешенную для записи ветку реестра HKCU. Не запрашивая повышения привилегий.
Правда, стоит добавить, что подобные "вирусы" лечатся простым "Восстановлением Системы" (коего у поделий как небыло, так и нет smile ).

UPS · 05-05-12 00:36:42

Раздолбай пишет:

Правда, стоит добавить, что подобные "вирусы" лечатся простым "Восстановлением Системы" (коего у поделий как небыло, так и нет smile ).

Еще можно добавить, что в винде не только UAC на страже стоит. smile
У нас один тру луноход флешку принес с дома на работу, так Нортон так "гавкать" начал big_smile Теперь ему вспоминают с его линухом,там же антивирус нинужен

NEMO · 05-05-12 12:05:30

Раздолбай пишет:

вполне себе "обходят" UAC, прописывая себя в качестве шелла в разрешенную для записи ветку реестра HKCU

HKCU это Current User, т.е. данная ветка отвечает за параметры текущего пользователя и не затрагивает другие настройки, в том числе и системные. Тут даже восстановление системы не нужно. И UAC не причем: администраторских прав на эту операцию не требуется.
Теперь я вижу еще одну проблему: люди порой не разбираются в этом вопросе.

Отредактировано NEMO (05-05-12 12:09:43)

Тайный хранитель · 05-05-12 12:25:09

NEMO пишет:

HKCU это Current User, т.е. данная ветка отвечает за параметры текущего пользователя

То есть получается без прав админа можно загадить учётную запись. Что не есть хорошо. Вообще, кроме обоев и значков пользователь не должен иметь права менять. Нет? Представляете при входе в учётную запись(обычная она одна и вход в таком случае по-умолчанию) разворачивается надпись, что компьютер заблокирован.

NEMO · 05-05-12 14:00:10

Тайный хранитель пишет:

То есть получается без прав админа можно загадить учётную запись. Что не есть хорошо. Вообще, кроме обоев и значков пользователь не должен иметь права менять. Нет?

Пользователь может менять только свои настройки и это нормально. Если он вместо стандартной оболочки предпочел прон с тикающим таймером - его право.

Тайный хранитель пишет:

Представляете при входе в учётную запись(обычная она одна и вход в таком случае по-умолчанию) разворачивается надпись, что компьютер заблокирован.

Ойбида... Запускаем компьютер в безопасном режиме с поддержкой командной строки, а дальше на что ума хватит. Можно начать с создания новой учетной записи, если пользователь не озаботился об этом сразу:

net user usr_%RANDOM% 123 /add

Дальше ctrl-alt-del, меняем пользователя, решаем проблему.

beep · 05-05-12 14:04:25

так не выйдет юзера включить еще надо, все правда зависит от настройки ОС , скажем в ХР и мой сервис пак 3 такое уже не канает и годов 4ри назад пытался сделать так, а вот в 7 ки незнаю

selenscy · 05-05-12 14:10:24

Раздолбай пишет:

Правда, стоит добавить, что подобные "вирусы" лечатся простым "Восстановлением Системы" (коего у поделий как небыло, так и нет

Не всегда...Восстановление системы можно и отключить, правда для этого нужны права администратора. Некоторые долбоёбы, наслушавшихся кулацкирей, да и просто поставив перацкую сборку, где эта функция отключена, как правило выпадают в осадок. Думаю, что так делают и местные особо пенгванутые smile
Потом они радостно вещают о паганой МС и засилии вирусов, хотя лично я, последний действительно вирус, уже и не помню. Трояны бывает вылавливает антивирь, это да.

Отредактировано selenscy (05-05-12 14:14:11)

NEMO · 05-05-12 14:26:30

beep пишет:

так не выйдет юзера включить еще надо, все правда зависит от настройки ОС , скажем в ХР и мой сервис пак 3 такое уже не канает и годов 4ри назад пытался сделать так, а вот в 7 ки незнаю

Почему не выйдет? Сейчас попробовал: в безопасном режиме с командной строкой программы в shell и userinit не выполняются. В обычном безопасном режиме да, способ не работает и shell выполняется.
Кстати, касательно вот этого:

Тайный хранитель пишет:

Вообще, кроме обоев и значков пользователь не должен иметь права менять

По умолчанию пользователь может менять настройки, но доступ к любой ветке можно запретить, просто нажав на ней правой кнопкой, а затем зайти в пункт "Разрешения...". Если запретить самому себе изменять ветку, то без помощи администратора запрет не снять.

spoilt · 05-05-12 19:13:26

С UAC, конечно лучше чем вовсе без него. Но ни один механизм защиты не идеален, особенно в руках глупых пользователей.
Вот, буквально в прошлой неделе, на работе пришлось реанимировать самый настоящий кирпич. Windows Vista с обновками (насколько новыми, не скажу) и с корпоративным Nod32, пропустили крайне зловредный бутлокер, который еще и таблицу разделов в кашу превратил. Пользователь просто проходил по "плохим" сайтам. Камень в огород Open Source: браузером был Firefox.

NEMO · 05-05-12 21:30:23

spoilt пишет:

Вот, буквально в прошлой неделе, на работе пришлось реанимировать самый настоящий кирпич. Windows Vista с обновками (насколько новыми, не скажу) и с корпоративным Nod32, пропустили крайне зловредный бутлокер, который еще и таблицу разделов в кашу превратил. Пользователь просто проходил по "плохим" сайтам. Камень в огород Open Source: браузером был Firefox.

Для прямой записи на жесткий диск нужны права администратора... Ну вы поняли, что я скажу дальше...

spoilt · 05-05-12 21:35:45

NEMO пишет:

Для прямой записи на жесткий диск нужны права администратора... Ну вы поняли, что я скажу дальше...

Которых вообще не может быть у рядового пользователя домена. И что дальше?

NEMO · 05-05-12 21:54:38

Выкладывайте сюда этот бутлокер. Или название дайте. Очень интересно посмотреть на такие чудеса.

pavel2403 · 05-05-12 21:59:29

spoilt пишет:

Камень в огород Open Source: браузером был Firefox.

Я собственно не любитель FF но требую справедливости! Причем здесь вобще браузер?
Браузер видит на странице вкрипты и исполняет их, а вот задача системы или антивиря перехватить вызовы скриптов, проанализировать их и принять, отклонить либо запросить действие пользователя, Кстати всеми ругаемый ИЕ имеет такую функцию, но это просто скорее вывод в ие результата проверки антивирусом. у меня например иногда выскакивает алерт в браузере, что такие-то такие-то скрипты заблокированы как небезопасные, источник-AVG

UPS · 05-05-12 22:41:28

NEMO пишет:

Очень интересно посмотреть на такие чудеса.

Если вам интересно можете почитать тутforum.drweb.com/index.php?showtopic=305757&st=80
5 стр. топика MBR локер smile хотелось бы услышать ваше мнение

beep · 05-05-12 22:53:33

NEMO пишет:

Почему не выйдет? Сейчас попробовал: в безопасном режиме с командной строкой программы в shell и userinit не выполняются.

На моем сервис паке 3 не катило, пишу как есть, юзер с правами админа создается но его включить надо, еще надо данные в реестр отправить для этого, это было у меня

NEMO · 05-05-12 23:36:58

beep пишет:

На моем сервис паке 3 не катило, пишу как есть, юзер с правами админа создается но его включить надо, еще надо данные в реестр отправить для этого, это было у меня

Тогда надо делать так:

net user usr1 123 /add
net localgroup Администраторы usr1 /add

После этого пользователь появится в списках для логина.

UPS пишет:

Если вам интересно можете почитать тутhttp://forum.drweb.com/index.php?showtopic=305757&st=80
5 стр. топика MBR локер smile хотелось бы услышать ваше мнение

Ну, я имел ввиду чудеса, проходящие сквозь ограничения учетной записи. В этом случае результат недалекости. Человек не знает даже, как в биос войти, а работники техпомощи вместо совета отсоединить жесткий диск для проверки биоса делают между собой ставки.
А вот и Trojan.MBRlock12:
antivirusfagot.blogspot.com/2012/03/tro … k12-5.html
Как видно, ничего волшебного.
spoilt, я так понимаю, на просьбу предоставить чудо выбрал третий вариант шаблонной реакции:

NEMO пишет:

Плавно поменять значение своего канала прозрачности до нуля, элегантно исчезая из виду.

spoilt · 06-05-12 00:00:45

NEMO пишет:

Выкладывайте сюда этот бутлокер. Или название дайте. Очень интересно посмотреть на такие чудеса.

Огненным мечом прошлись по компу еще на той неделе, уже ничего не осталось. Если у коллеги сохранилась фотография с экраном локера, то скину ближе ко вторнику.
Собственно экран был очень похож на вот этот. Только требовал уже 800 грн.

pavel2403 пишет:

Я собственно не любитель FF но требую справедливости! Причем здесь вобще браузер?

Все вы расписали крайне хорошо, но по идее все скрипты браузера должны исполняться внутри браузера, а никак не в системе. То что с некого сайта лезет запускаться вполне конкретный бинарь - это признак того, что в браузере есть дырка на выполнение удаленного кода. В FF такое вполне себе бывает. Вот только как оно незаметно повысило свои права - остается пока тайной.

Отредактировано spoilt (06-05-12 00:07:31)

pavel2403 · 06-05-12 00:11:39

spoilt пишет:

все скрипты браузера должны исполняться внутри браузера, а никак не в системе.

Да вы что??? может быть в контексте браузера? или FF у нас уже содержит виртуальную машину? насколько мне известно, технологию изоляции среды исполнения скриптов ограниченно реализована только в хроме и ie 9. поправте если не прав.

UPS · 06-05-12 00:12:33

NEMO пишет:

Ну, я имел ввиду чудеса, проходящие сквозь ограничения учетной записи. В этом случае результат недалекости. Человек не знает даже, как в биос войти, а работники техпомощи вместо совета отсоединить жесткий диск для проверки биоса делают между собой ставки.
А вот и Trojan.MBRlock12:
antivirusfagot.blogspot.com/2012 … k12-5.html
Как видно, ничего волшебного.

Да, я понял. Просто в качестве небольшого оффтопа заинтересовала ситуация (как я понял в биос он не попал никак) и у меня была сходная (оговорюсь,что не помню был включен UAC или нет smile ) последнее ,что увидел это несколько окошек с Ахтунгами которые моментально погасли вместе с монитором. После этого комп не стартовал вообще( до загрузки биоса дело не доходило даже), вывода видео нет sad Cимптомы как видеокарта наеб...или мама smile
Cнял хард проверил-ничего не нашел,поменял видео опять ничего,ресетнул биос мамы и на хард накатил образ из резервной копии-завелось smile Через несколько часов ситуация повторилась.
Избавился я от греха от этого харда опять ресетнул биос (на ночь почитал про бирусы smile ) и проблем больше не имею, хотя я скептически отношусь в принципе к бирусам ,супер локерам...
Но если говорить про UAC то думаю 80% пользователей сами и отключают по причине лени,нежелания разбираться что пишет или репачек ставят с трояном .

spoilt · 06-05-12 00:21:26

pavel2403 пишет:

Да вы что??? может быть в контексте браузера? или FF у нас уже содержит виртуальную машину? насколько мне известно, технологию изоляции среды исполнения скриптов ограниченно реализована только в хроме и ie 9. поправте если не прав.

А что, в контексте ring0? Честно, не буду сильно углубляться в эту тему, так как относительно слаб в теме скриптов в браузере. Знаю, что каждый браузер интерпретирует скрипты немного по-своему.

Форум StopLinux

Объявление

#1 04-05-12 23:23:17

UAC и разграничение прав.

#2 04-05-12 23:33:35

Re: UAC и разграничение прав.

#3 04-05-12 23:35:58

Re: UAC и разграничение прав.

#4 05-05-12 00:03:43

Re: UAC и разграничение прав.

#5 05-05-12 00:06:38

Re: UAC и разграничение прав.

#6 05-05-12 00:30:39

Re: UAC и разграничение прав.

#7 05-05-12 00:36:42

Re: UAC и разграничение прав.

#8 05-05-12 12:05:30

Re: UAC и разграничение прав.

#9 05-05-12 12:25:09

Re: UAC и разграничение прав.

#10 05-05-12 14:00:10

Re: UAC и разграничение прав.

#11 05-05-12 14:04:25

Re: UAC и разграничение прав.

#12 05-05-12 14:10:24

Re: UAC и разграничение прав.

#13 05-05-12 14:26:30

Re: UAC и разграничение прав.

#14 05-05-12 19:13:26

Re: UAC и разграничение прав.

#15 05-05-12 21:30:23

Re: UAC и разграничение прав.

#16 05-05-12 21:35:45

Re: UAC и разграничение прав.

#17 05-05-12 21:54:38

Re: UAC и разграничение прав.

#18 05-05-12 21:59:29

Re: UAC и разграничение прав.

#19 05-05-12 22:41:28

Re: UAC и разграничение прав.

#20 05-05-12 22:53:33

Re: UAC и разграничение прав.

#21 05-05-12 23:36:58

Re: UAC и разграничение прав.

#22 06-05-12 00:00:45

Re: UAC и разграничение прав.

#23 06-05-12 00:11:39

Re: UAC и разграничение прав.

#24 06-05-12 00:12:33

Re: UAC и разграничение прав.

#25 06-05-12 00:21:26

Re: UAC и разграничение прав.

Подвал форума