Перейти к содержанию
Anmawe

Может ли винлок заблокировать всю windows, если был запущен с правами пользователя ?

Recommended Posts

Anmawe

Винлок сможет заблокировать только ту учетную запись, в которой был запущен ? Существуют ли уязвимости, позволяющие винлоку заблокировать всю операционную систему несмотря на то, что винлок был запущен с правами пользователя ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
1. Винлок сможет заблокировать только ту учетную запись, в которой был запущен ?

2. Существуют ли уязвимости, позволяющие винлоку заблокировать всю операционную систему несмотря на то, что винлок был запущен с правами пользователя ?

1. Не факт. Все зависит от реакции средств защиты, привилегий учетной записи и косинуса от кривизны рук автора винлока

2. Существуют. Но для начала "права пользователя" тоже разные бывают, это понятие весьма растяжимое...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
JunDF
1. Не факт. Все зависит от реакции средств защиты, привилегий учетной записи и косинуса от кривизны рук автора винлока

2. Существуют. Но для начала "права пользователя" тоже разные бывают, это понятие весьма растяжимое...

Как я понимаю, автор вопроса не спрашивает про антивирусы и подобный софт.

Вот как я понял вопрос: юзер создал учетку ограниченного пользователя и сидит только род ней. И вопрос: если он подхватит блокиратор, то возможно ли что зловред засунет свои щупальцы дальше ограниченной учётной записи?

Кстати, мне тоже это интересно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Milord

Каков вопрос, такой и ответ, смысл в том, как написан блокер, в ограниченной учётной записи, даже руткиты не работают, никто не отменял виртуализацию UAC, ограниченные политики, etc.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Anmawe

Уточню что я хотел сказать - пользователь создает например в windows XP ограниченную учетную запись . В ней он запускает некий exe файл, который оказывается винлоком , но у пользователя например не установлен антивирус, или антивирус есть, но он не обнаруживает данный винлок . Или винлок проходит через уязвимость браузера, при этом браузер запущен от имени ограниченной учетной записи .

Или у пользователя Windows 7 или 8 . Там он использует учетную запись "обычный доступ" и "стандартная" соответственно . UAC выключен, чтобы программы запускались только от имени этой ограниченной учетной записи .

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sceptic
Уточню что я хотел сказать - пользователь создает например в windows XP ограниченную учетную запись . В ней он запускает некий exe файл, который оказывается винлоком , но у пользователя например не установлен антивирус, или антивирус есть, но он не обнаруживает данный винлок . Или винлок проходит через уязвимость браузера, при этом браузер запущен от имени ограниченной учетной записи .

Или у пользователя Windows 7 или 8 . Там он использует учетную запись "обычный доступ" и "стандартная" соответственно . UAC выключен, чтобы программы запускались только от имени этой ограниченной учетной записи .

Под ограниченной учёткой любой малвари жить будет крайне неуютно.

Отсутствие прав NTFS не позволит сделать запись в системные каталоги и реестр системы, следовательно помена путей AppInit_dlls, shell и winlogon исключена.

Как правило фантазия доморощеных "кулхацкеров" дальше не распростроняется.

Ни разу не встречал винлок, который что-то натворил под ограниченной учёткой.

Если установленная ОС - оригинал и ставилась ровными руками, то особых проблем не возникнет и на остальных логических дисках (если есть).

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Я сталкивался. Другое дело, что вынести малварь, которая прописалась в HKCU\..\Run вообще не проблема. Но, блин, это не под силу домохозяйке.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
WindowsNT
Я сталкивался.

Что и как это было?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Блокер у кого-то. Не имея прав, он засел в ветке текущего юзера и, соотвественно, не грузился в Safe Mode.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Домашние антивирусы для Windows были обновлены до версии 17.2.7.
    • demkd
      ---------------------------------------------------------
       4.15.7
      ---------------------------------------------------------
       o Исправлена старая ошибка проверки ЭЦП: "Not a cryptographic message or the cryptographic message is not formatted correctly"
         проявляющаяся в некоторых системах.

       o Обновлена база известных файлов.

       
    • demkd
      ---------------------------------------------------------
       4.15.6
      ---------------------------------------------------------
       o Исправлена ошибка из-за которой автоматически не замораживались потоки внедренные в uVS,
         если их код НЕ принадлежал одной из загруженных DLL.

       o Добавлена поддержка английского интерфейса при запуске под Win2k.

       
    • demkd
      Иногда спрашивают, как загрузиться в командную строку без диска, я постоянно забывают дополнить Общий FAQ.
      И вот наконец-то я про это вспомнил:
      Q: Как запустить uVS с командной строки Windows без использования загрузочного диска/флешки для работы с НЕактивной системой.
         (!) Для текущей версии uVS работа с командной строки доступна только для 32-х битных систем. (что бы работало в x64 системах, нужно делать uVS x64 и это запланировано).
         1. Если у вас Windows 8 и старше, то запустите start.exe и нажмите кнопку "Перезагрузить систему в меню дополнительных параметров загрузки".
         2. Далее в меню "Поиск и устранение неисправностей->Дополнительные параметры->Командная строка"
         3. Выберите админскую учетную запись и введите для нее пароль.
         4. Запустите start.exe из каталога uVS с командной строки.
            (!) Обычно система расположена на диске D.
                Например: uVS лежит в каталоге С:\uvs (в командной строке это будет D:\uvs)
                Для запуска uVS необходимо последовательно набрать 3 команды, завершая каждую нажатием клавиши Enter.
                1. d:
                2. cd d:\uvs
                3. start.exe
         5. Выбрать каталог Windows (обычно D:\Windows).
         Если у вас Windows 7 и младше, то в меню вы можете попасть только нажав F8 при перезагрузке системы
         (!) Использовать msconfig для этого не рекомендуется, система может не загрузиться после его использования.
         Для младших систем доступен только безопасный режим с поддержкой командной строки, т.е. система будет активна.
       
    • demkd
      ---------------------------------------------------------
       4.15.5
      ---------------------------------------------------------
       o Обновлена функция трансляции переменных окружения USERPROFILE, HOMEPATH, LOCALAPPDATA, APPDATA.
         Значения этих переменных теперь зависят от того где физически находится lnk файл.
         Теперь с разбором lnk файлов будет меньше проблем, но я все же рекомендую удалять ссылки
         на отсутствующие объекты только под текущем пользователем.

       o Исправлена функция разбора путей не содержащих букву диска.

       o Исправлена функция разбора аргументов rundll32.

       o Обновлен start.exe.
         o Обновлен интерфейс.
         o Изменена кнопка по умолчанию, теперь это "запуск под текущим пользователем".
         o Исправлена ошибка: при определенных параметрах повторный запуск uVS в режиме "до запуска эксплорера" был невозможен.
         
×