Перейти к содержанию
red17

А так ли хороша защита UAC

Recommended Posts

SDA
Вот дела держу в руках смар на Android и ненужно там никаких прав root

Может стоит к прочтению мат. части добавить немного практики ;)

Вот только ненадо обобщать.

Опытные пользователи прекрасно обходятся и без UAC.

:facepalm::facepalm::facepalm:

Юзаем моск и гуугл

http://lmgtfy.com/?q=android+2.1+root

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Холивары холиварчики.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
red17

Провёл небольшой тест. ОС Windows 7 x64 UAC на макс. Запускаю предустановленную на Lenovo Thinkpad утилиту Lenovo Update and Driver(для чего она предназначена надеюсь понятно) она загружает обновления и устанавливает, в процессе установки она отключает проводник, а затем перегружает систему на все эти её действия UAC молчит. Откатываюсь, устанавливаю Comodo призёра АМ и Matousec(не на правах рекламы), в правилах Comodo всё в доверительные включая утилиту Lenovo Update and Driver, выключаю песок, неизвестные на макс. Запускаю Lenovo Update and Driver она загружает обновления и пытается их установить, но тщетно Comodo их блокирует в не доверительные, что надеюсь исправят, приложения то вполне легитимные. Теперь понятно, как работает нормальная защита и как работает UAC и что найди хакер уязвимость в Lenovo Update and Driver(или любой другой программе) UAC проморгала бы установку зловредов в систему. В linux естественно установить Lenovo Update and Driver я не пытался) но и так видно, что при обновлении требуются права root.

Холивары холиварчики.

Я незнаю чего sda спорит :rolleyes:

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Celsus
Lenovo Thinkpad утилиту Lenovo Update and Driver(для чего она предназначена надеюсь понятно)

Какой автозапуск у этого процесса? Может ли процесс представляться как системная служба или быть прописанным в Планировщик, в котором в задании указан запуск с правами Администратора? Может, поэтому UAC не реагирует.

найди хакер уязвимость в Lenovo Update and Driver(или любой другой программе) UAC проморгала бы установку зловредов в систему.

А что сделает Comodo, если процесс занесен в доверенные (что Вы сами хотите, чтобы было), разве Comodo по-прежнему будет его блокировать иди следить за его действиями? :mellow:

Надо задать вопрос на форуме Comodo (может, задам вечером), как Comodo отнесется к вредоносным действиям доверенного процесса.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
red17
Какой автозапуск у этого процесса? Может ли процесс представляться как системная служба или быть прописанным в Планировщик, в котором в задании указан запуск с правами Администратора? Может, поэтому UAC не реагирует.

Простите, а как у Вас UAC реагируют на действия уже установленного софта :blink: . У меня лично и в частности никак :)

А что сделает Comodo, если процесс занесен в доверенные (что Вы сами хотите, чтобы было), разве Comodo по-прежнему будет его блокировать иди следить за его действиями?

А разве я неясно написал что Lenovo Update and Driver в доверительных, как и ВСЁ что было установленно на ПК на момент теста. :angry:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Соколов

А в чём спор то, что Виндовс не контролируюет системные процессы, так этож...но в восьмой версии это подправят и крутится в системе что- либо неподписанное несможет, хотя принынешнем рас...ве получить цифр. подпись непроблема, так что производителям защитного по работы хватит ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Celsus
Comodo их блокирует в не доверительные, что надеюсь исправят, приложения то вполне легитимные.

Получается, Comodo блокирует скаченные обновления (драйвера или утилиты), но не блокирует процесс, который их скачал, так как процесс уже в доверенных и не может попасть в недоверенные.

Про автозапуск я спросил, потому что процесс может запускаться с администраторскими правами, и естественно UAC не среагирует: UAC спрашивает в первый раз, когда устанавливается Lenovo Update - тогда установщик запущен с высшими привелегиями и прописывает себе автозапуск какой хочет, может прописать такой, чтобы сразу стартовать без вопросов UAC и даже под обычным пользователем. Я настроил запуск 1 программы в Планировщике, которая требует права администратора уже при запуске. В задании просто указывается, для каких пользователей запускать (при входе в Windows любого пользователя, например). Также можно отметить галку: запускать с высшими правами. И программа, требующая для запуска прав Админа, без вопросов будет запускаться под учетной записью обычного пользователя.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Соколов
Получается, Comodo блокирует скаченные обновления (драйвера или утилиты)

Так любой нормальных HIPS работает, и в песок их, a вдруг песочница дырявая окажется...

Естественно заменить скаченные обновления (драйвера или утилиты) на вирусы...a хорошие файлы блокировать в идеале недолжен конечно)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA

Для интересующимся UAC, еще Windows Vista появилась «песочница», позволяющая устанавливать программы в псевдовиртуальной машине, предотвращая тем самым пагубное воздействие инсталляторов на основную систему.

Вот как это происходит в Севене:

Все сводится к тому, что UAC перехватывает запросы на запись в защищенные папки (C:\Windows,C:\Program Files\) и реестр, а вместо этого записывает эти данные в папки пользователя. Софту кажется, что запись и чтение ведется из одного места, а на самом деле работа происходит в каталоге пользователя.

сначала нужно зайти в диспетчер задач и зайти в меню выбора столбцов- пункт «Виртуализация контроля учетных записей»

311__600xfloat=_virtualization_taskmanager.png

Теперь находим нужный процесс и нажимаем на нем правой кнопкой мыши. В появившемся окне нужно выбрать «Виртуализация UAC"

312__h=x_virtualization_turn_on.png

После этого выскочит предупреждение

310__h=x_virtualization_hint.png

Теперь выбранный процесс будет запущен в виртуальной среде, а все его попытки записи в защищенные области будут перенаправлены в открытую папку.

Виртуализация файловой системы и реестра, конечно, не распространена на всю систему. Есть лишь ограниченное количество мест, которые виртуализируются, и все они необходимы для работы и безопасности ОС. Вот практически полный список расположений, которые виртуализируются:

\Program Files и подпапки

\Program Files (x86) на 64-разрядных системах

\Windows и все подпапки, включая System32

\Users\%AllUsersProfile%\ProgramData

\Documents and Settings (symbolic link)

HKLM\Software

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Провокационные сообщения и флейм удалил

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Соколов
310__h=x_virtualization_hint.png

Побоялся я б с таким названием запускать. :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Полонский
Контроль учетных прав можно обойти, об этом писали и сами представители Мелкософта. Нет 100% защиты. Но пока ни в Винде, ни в Линуксе, ни в Макоси ничего лучше не придумано и позволяет в 99% опытных пользователей обходиться без дополнительной защиты.

Что тогда в твой подписи делает Нортон.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Celsus
Вот практически полный список расположений, которые виртуализируются:

\Program Files и подпапки

\Program Files (x86) на 64-разрядных системах

\Windows и все подпапки, включая System32

\Users\%AllUsersProfile%\ProgramData

\Documents and Settings (symbolic link)

HKLM\Software

Выходит, что если виртуализированный вирус все удалит или изменит в этих виртуальных средах, то реальные папки и реестр останутся неизменными?

Если из-под виртуализированного IE9 запустится вирус, он наследует виртуализацию, для него будет принудительно виртуализированы эти среды?

Цитата из статьи (чуть изменил вид):

В Windows Vista эти старые приложения могут работать с учетными записями обычного пользователя за счет применения виртуализации файловой системы и пространства имен реестра. Когда приложение изменяет данные в частях файловой системы или реестра, общих для всей системы, и эта операция проходит неудачно из-за отказа в доступе, Windows перенаправляет операцию в область соответствующего пользователя. Когда приложение считывает данные из системно-глобального размещения, Windows сначала проверяет данные в области пользователя и, если их там не находит, разрешает чтение из глобального размещения.

Для целей этой виртуализации Windows Vista обрабатывает процесс как устаревший, [в случаях]:

1) если он 32-разрядный (а не 64-разрядный)

2) выполняется не с административными правами [то есть запускается просто, а не через контекстовый пункт "Run As Administrator"]

3) не имеет файла манифеста, указывающего, что он написан для Windows Vista. [не имеет значка щита, который указывает на то, что приложению требуются права Администратора. А если для запуска права админа не требуются, а в процесе могут потребоваться, а щита нет - такое у нормальных программ бывает?]

Любые операции, происходящие из процесса, не подпадающего под это определение, включая доступ к сетевому общему файловому ресурсу, не виртуализуются.

"под это определение" - то есть должны быть выполнены все три условия, для того чтобы произошла виртуализация процесса? Если да (и если он не наследует виртуализацию от другой программы, через которую пролез, если такое наследование вообще бывает), то вирусу достаточно не выполнить один, чтобы не быть виртуализированным.

Internet Explorer 9 по умолчанию виртуализирован

Для обозревателя Internet Explorer® (iexplore.exe) виртуализация включена, так как он может поддерживать элементы управления ActiveX и сценарии и не должен полагаться на то, что они будут правильно работать с правами обычного пользователя

Еще один сложный момент, который не понятен:

Однако из виртуализации исключаются все файлы с расширением исполняемого файла, в том числе EXE, BAT, SCR, VBS и другие. В результате программы, которые обновляют себя под учетной записью обычного пользователя, терпят сбой вместо создания частных версий своих исполняемых файлов, которые не видны администратору, запускающему глобальный модуль обновления.

Речь о том, что если файл exe, расположенный в системной папке, не сможет измениться (записать новую версию exe в виртуальную папку), если приложение обновляется? Смысл этого примечания только в том случае, если иполняемому обновляемому файлу необходима виртуализация - то есть только когда он в системной папке?

Резюме: интересно узнать, в плане защиты при каких условиях виртуализация полезна.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ummitium

...UAC молчит и это происходит как при работе от администратора так и под пользователем.
Даже когда работаете от имени администратора, под UAC-ом процессы запускаются от имени ограниченной пользовательской учетной записи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
?

Резюме: интересно узнать, в плане защиты при каких условиях виртуализация полезна.

Здесь подробно о виртуализации UAC и по прочтении можно сделать вывод

http://www.redline-software.com/rus/suppor...ation-part1.php

http://www.redline-software.com/rus/suppor...ation-part2.php

И от Марка Руссиновича http://technet.microsoft.com/ru-ru/magazine/2007.06.uac.aspx

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Celsus
Здесь подробно о виртуализации UAC и по прочтении можно сделать вывод

http://www.redline-software.com/rus/suppor...ation-part1.php

http://www.redline-software.com/rus/suppor...ation-part2.php

И от Марка Руссиновича http://technet.microsoft.com/ru-ru/magazine/2007.06.uac.aspx

Спасибо за ссылки.

Насчет этого:

Работа с реестром (Reg hack) для добавления расширений

Как видно на рисунке 5, ни один из исполняемых файлов, запущенных напрямую, не виртуализируется

теперь понятно: файл, на который нажали Enter, виртуализирован не будет и если он находится в Program Files, его новой (виртаульной копии) создано не будет. Его надо будет виртуализировать вручную. Получается, после ручной виртуализации файл обновится (создастся его виртуальная копия). А при следующем запуске запустится уже виртуальная копия, так как сначала ищутся виртуальные файлы, а потом реальные защищенные.
ОС Windows Vista идет с отличным инструментом, помогающим защитить ваши системные файлы, папки и реестр от взлома

Можно ли сказать то же самое в отношении пользовательских файлов?

Пример:

Троянская программа или вирус, который шифрует файлы .doc, .docx, .txt, отвечает всем требованиям: 32 разрядный процесс, выполняется не с административными правами (под обычной учетной записью или простым нажатием Enter под администратором), не имеет файла манифеста Vista или Seven + условие: при запуске изменяет защищенную запись реестра либо системную папку (например, что-нибудь копирует в папку Windows) и если не удается это сделать, не запускается.

Получается, такая программа запустится именно благодаря виртуализации.

Или другой пример: вирус отвечает требованиям виртуализации + изменяет файл HOSTS. Реальный HOSTS не меняется. Но появляется виртуальный. Как было написано в одной статье:

Когда приложение считывает данные из системно-глобального размещения, Windows сначала проверяет данные в области пользователя и, если их там не находит, разрешает чтение из глобального размещения.
Следовательно, могут иметь место быть перенаправления на зараженные сайты, блокирования сайтов и все остальное. Пользователь смотрит реальный HOSTS - там все чисто.

Примеры могут быть ошибочны

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Соколов
Можно ли сказать то же самое в отношении пользовательских файлов?

Мне тоже интересно.

Чтоб такой дебил, как ты спросил

Почему он дебил.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Можно ли сказать то же самое в отношении пользовательских файлов?

Я думаю да, только для обычного пользовательского профиля.

Предположим, ваше приложение пытается внести изменения в файле C:\Program

Files\Contoso\Settings.ini, но обычный пользователь не имеет доступа к папке Program Files, и операция записи перенаправляется в файл C:\Users\Username\AppData\Local\VirtualStore\Program

Files\Contoso\settings.ini. Аналогично, если приложение пытается записать что-то в разделе реестра HKEY_LOCAL_MACHINE\Software\Contoso\, то запись перенаправляется в ветку HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\Software\Contoso или

HKEY_USERS\UserSID_Classes\VirtualStore\Machine\Software\Contoso.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Для интересующимся UAC, еще Windows Vista появилась «песочница»...

1) НЕ лишним было бы давать пруф-линк на представленный материал :D(клац)

2) виртуализация имеет ограничения: http://www.oszone.net/8525/UAC

3) 3) виртуализация для процесса запускается из диспетчера задач, т.к. программа должна быть уже запущена (провиртуализируйте ваш любимый винлок как на скрине выше - через диспетчер задач) :)

Я думаю да, только для обычного пользовательского профиля.

Предположим, ваше приложение пытается внести изменения в файле C:\Program

Files\Contoso\Settings.ini, но обычный пользователь не имеет доступа к папке Program Files, и операция записи перенаправляется в файл C:\Users\Username\AppData\Local\VirtualStore\Program

Files\Contoso\settings.ini. Аналогично, если приложение пытается записать что-то в разделе реестра HKEY_LOCAL_MACHINE\Software\Contoso\, то запись перенаправляется в ветку HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\Software\Contoso или

HKEY_USERS\UserSID_Classes\VirtualStore\Machine\Software\Contoso.

Пруф-линк в студию :) (хотя информация из предыдущего и этого поста ищется в поисковиках легко, но все же...) (клац)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Соколов
3) виртуализация для процесса запускается из диспетчера задач, т.к. программа должна быть уже запущена (провиртуализируйте ваш любимый винлок :))

Вот именно. Такая виртуализация что есть что нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Вот именно. Такая виртуализация что есть что нет.

На озоне на второй странице что-то написано о настройке виртуализации в групповых политиках, но мне сейчас лень читать :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
1) НЕ лишним было бы давать пруф-линк на представленный материал :D

2) виртуализация имеет ограничения: http://www.oszone.net/8525/UAC

3) виртуализация для процесса запускается из диспетчера задач, т.к. программа должна быть уже запущена (провиртуализируйте ваш любимый винлок :))

Пруф-линк в студию :) (хотя и информация из предыдущего и этого поста ищется в поисковиках легко, но все же...)

пруф линки основные я дал, кто желает пусть сам гуглит :rolleyes: некоторым даже это лениво делать, не то что "юзать моск" <_<

виртуализация имеет ограничения, это видно из вышеуказанных ссылок, если их почитать.

Интересно и как можно виартулизировать запущенного винлока ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Celsus
Я думаю да, только для обычного пользовательского профиля.

Предположим, ваше приложение пытается внести изменения в файле C:\Program

Files\Contoso\Settings.ini, но обычный пользователь не имеет доступа к папке Program Files, и операция записи перенаправляется в файл C:\Users\Username\AppData\Local\VirtualStore\Program

Files\Contoso\settings.ini. Аналогично, если приложение пытается записать что-то в разделе реестра HKEY_LOCAL_MACHINE\Software\Contoso\, то запись перенаправляется в ветку HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\Software\Contoso или

HKEY_USERS\UserSID_Classes\VirtualStore\Machine\Software\Contoso.

settings.ini защитится, но требуется не его защита. Сформулирую вопрос иначе (хотя, может, я не правильно понял Ваш ответ): нужна защита не файлов программы или параметров реестра, а обычных, доступных для изменения файлов, кторые повредит вредонос, который запустится, только если виртуализируется. А если не виртуализируется - не запустится и не повредит файлы.

Хотя, такие размышления, наверно, кажутся надуманными, понятия не имею, могут ли они быть в жизни.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Александр Соколов

47f1cfe8bc473125b8667aee08b7ec37.jpg

И где тут речь о защите :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
пруф линки основные я дал, кто желает пусть сам гуглит

Я о ссылках на примеры, ну да ладно, в 45 посте указал :ph34r:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×