Может ли винлок заблокировать всю windows, если был запущен с правами пользователя ? - Современные угрозы и защита от них - Форумы Anti-Malware.ru Перейти к содержанию
Anmawe

Может ли винлок заблокировать всю windows, если был запущен с правами пользователя ?

Автор Anmawe, в Современные угрозы и защита от них

Recommended Posts

Anmawe    5

Anmawe
Опубликовано

Винлок сможет заблокировать только ту учетную запись, в которой был запущен ? Существуют ли уязвимости, позволяющие винлоку заблокировать всю операционную систему несмотря на то, что винлок был запущен с правами пользователя ?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Зайцев Олег    402

Зайцев Олег
Опубликовано
1. Винлок сможет заблокировать только ту учетную запись, в которой был запущен ?

2. Существуют ли уязвимости, позволяющие винлоку заблокировать всю операционную систему несмотря на то, что винлок был запущен с правами пользователя ?

1. Не факт. Все зависит от реакции средств защиты, привилегий учетной записи и косинуса от кривизны рук автора винлока

2. Существуют. Но для начала "права пользователя" тоже разные бывают, это понятие весьма растяжимое...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

JunDF    5

JunDF
Опубликовано
1. Не факт. Все зависит от реакции средств защиты, привилегий учетной записи и косинуса от кривизны рук автора винлока

2. Существуют. Но для начала "права пользователя" тоже разные бывают, это понятие весьма растяжимое...

Как я понимаю, автор вопроса не спрашивает про антивирусы и подобный софт.

Вот как я понял вопрос: юзер создал учетку ограниченного пользователя и сидит только род ней. И вопрос: если он подхватит блокиратор, то возможно ли что зловред засунет свои щупальцы дальше ограниченной учётной записи?

Кстати, мне тоже это интересно.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Milord    55

Milord
Опубликовано

Каков вопрос, такой и ответ, смысл в том, как написан блокер, в ограниченной учётной записи, даже руткиты не работают, никто не отменял виртуализацию UAC, ограниченные политики, etc.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Anmawe    5

Anmawe
Опубликовано

Уточню что я хотел сказать - пользователь создает например в windows XP ограниченную учетную запись . В ней он запускает некий exe файл, который оказывается винлоком , но у пользователя например не установлен антивирус, или антивирус есть, но он не обнаруживает данный винлок . Или винлок проходит через уязвимость браузера, при этом браузер запущен от имени ограниченной учетной записи .

Или у пользователя Windows 7 или 8 . Там он использует учетную запись "обычный доступ" и "стандартная" соответственно . UAC выключен, чтобы программы запускались только от имени этой ограниченной учетной записи .

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

sceptic    100

sceptic
Опубликовано
Уточню что я хотел сказать - пользователь создает например в windows XP ограниченную учетную запись . В ней он запускает некий exe файл, который оказывается винлоком , но у пользователя например не установлен антивирус, или антивирус есть, но он не обнаруживает данный винлок . Или винлок проходит через уязвимость браузера, при этом браузер запущен от имени ограниченной учетной записи .

Или у пользователя Windows 7 или 8 . Там он использует учетную запись "обычный доступ" и "стандартная" соответственно . UAC выключен, чтобы программы запускались только от имени этой ограниченной учетной записи .

Под ограниченной учёткой любой малвари жить будет крайне неуютно.

Отсутствие прав NTFS не позволит сделать запись в системные каталоги и реестр системы, следовательно помена путей AppInit_dlls, shell и winlogon исключена.

Как правило фантазия доморощеных "кулхацкеров" дальше не распростроняется.

Ни разу не встречал винлок, который что-то натворил под ограниченной учёткой.

Если установленная ОС - оригинал и ставилась ровными руками, то особых проблем не возникнет и на остальных логических дисках (если есть).

  • Upvote 5

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Umnik    997

Umnik
Опубликовано

Я сталкивался. Другое дело, что вынести малварь, которая прописалась в HKCU\..\Run вообще не проблема. Но, блин, это не под силу домохозяйке.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

WindowsNT    100

WindowsNT
Опубликовано
Я сталкивался.

Что и как это было?

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Umnik    997

Umnik
Опубликовано

Блокер у кого-то. Не имея прав, он засел в ветке текущего юзера и, соотвественно, не грузился в Safe Mode.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты
Перейти к списку тем Современные угрозы и защита от них

  • Сообщения

    • demkd
      uVS - Тестирование

      От demkd · Опубликовано

      С большой вероятностью эта версия и станет v5.0
      Все что было запланировано реализовано. ---------------------------------------------------------
       5.0.RC1
      ---------------------------------------------------------
       o В окно запуска добавлен пункт меню "Перезагрузить в интерфейс встроенного ПО [UEFI]"
         Доступно начиная с Win10.

       o В окно запуска добавлен выбор основного шрифта.

       o Пополнено окно дополнительных настроек.

       o В функцию удаления временных файлов добавлено 4 каталога с временным файлами Windows.
         o \Windows\Downloaded Program Files
         o \ProgramData\Microsoft\Windows\WER\ReportArchive   
         o \ProgramData\Microsoft\Windows\WER\ReportQueue
         o \ProgramData\Microsoft\Windows\WER\Temp
         Функция больше не выводит в лог пути до отсутствующих каталогов.

       o Исправлена критическая ошибка инициализации режима DDA,
         она могла проявляться на чипсетах AMD при подключении
         физического монитора к компьютеру, который был отключен или физически
         не подключен на этапе загрузки системы, при этом меняются логические
         номера дисплеев и 1-го дисплея обычно не существует, поэтому
         если вы подключились и 1-й дисплей показывает черный квадрат то
         стоит попробовать переключиться на 2-й и т.п.
         (!) В этом случае не работает программный способ вывода дисплея из сна,
         (!) поэтому в текущей версии движения мыши в любом случае передаются на
         (!) удаленный компьютер, что гарантировано пробуждает спящий дисплей
         (!) при переключении на него.

       o Исправлена ошибка создания загрузочного диска под Windows 11 24H2,
         по неизвестной причине в этой редакции Windows dism из пакета ADK
         не способен без ошибок сформировать загрузочный образ диска,
         поэтому все операции с образом диска теперь выполняет штатный dism из системного каталога.

       o Исправлена ошибка для определения пути до драйвера CDD.DLL при анализе
         ключей безопасного режима.

       
    • PR55.RP55
      uVS - оффтопик

      От PR55.RP55 · Опубликовано

      Критическая уязвимость в ASUS DriverHub https://www.comss.ru/page.php?id=16443
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Изменения для драйверов Windows 11: новые сертификаты и отказ от метаданных https://www.comss.ru/page.php?id=16408
    • demkd
      Новые функции в Universal Virus Sniffer (uVS)

      От demkd · Опубликовано

      Если нет пользовательского реестра для пользователя то будет сообщение в логе, остальное не надо видеть и тем более удалять - это дело пользователя.
    • PR55.RP55
      Новые функции в Universal Virus Sniffer (uVS)

      От PR55.RP55 · Опубликовано

      Увидит ли такое uVS И должно быть удаление ? O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\TEMP
      O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\Михаил Акаминов
      O27 - Account: (Hidden) User 'John' is invisible on logon screen
      O27 - Account: (Missing) HKLM\..\ProfileList\S-1-5-21-1832937462-987109255-1306349959-1002.bak [ProfileImagePath] = C:\Users\Михаил (folder missing)
×