Ingener

Блокировка Internet Explorer!

В этой теме 47 сообщений

Спасибо, взял на заметку.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
"не разрешено" - ОК.

А как вернуть всё назад?

"Разрешено" будет ли достаточно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

@ Ingener

Метод не совсем новый - он уже применился на Win 2000. Вот статья, где обсуждается:

http://www.osp.ru/win2000/2007/07/4592049/

Есть некоторые моменты, которые надо иметь в виду:

1) Есть обход когда работает RunAs. Дело в том, что эти запреты в политиках работают только на уровне пользовательской сессии и пользовательских разрешений, а вызвать запрещённые программы можно другими методами. Я детали точно не помню, но Марк Руссинович показал это убедительно несколько лет назад когда он ещё не работал у Майкрософта. По-моему он это сделал не через атаку на испольнительный файл iexplore.exe, а на одну из его библиотек (dll). К сожалению многие из его экспериментов сейчас уже недоступны. Найду, обещаю. Эта политика имеет только смысл если вы работаете в учётке с ограниченными правами и с отключённым RunAs.

2) на XP Home нельзя такое делать (там нет редактора политик). Для владельцев такой системы всё равно не всё потеряно: Как обезвредить Internet Explorer? Применить надо желательно все 3 метода, потому что против каждого отдельно есть возражения. Кроме того, вариант №3 работает только когда у вас в системе IE6.

3) Откройте 'Мой Компьютер' (то есть Ваш ;)). Там, я так думаю, в одной из вкладок можно найти 'Избранные' или 'Ссылки', или просто google.com ввести если задан панель адреса в параметрах проводника. Меня интересует: что у вас происходит, когда вы нажимаете на такие ссылки? (То есть: косвенно вызываете IE). Ликтест WallBreaker, например, запускает IE через cmd -> explorer -> IE. Там 4 теста в одном. Запустите первый.

P.S.1: Насколько я знаю, нет надёжных способов избавиться от IE если не серьёзно модифицировать проводник (explorer.exe), и это тоже не рекомендуется, так как вы остаётесь с очень нестабильной системой.

P.S.2: политики ограниченного использования программ точно НЕ применяются в отношении:

* драйверов и других видов софта на уровне ядра

* учётной записи SYSTEM

* Макросов в Microsoft Office 2000 и новее.

* Программ на runtime.

Поэтому не совсем оправдано считать, что ваш метод будет защищать вас от спамботов, и пр.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ничего особеного при этом не происходит - запускается браузер Opera.

P.S.2 из сообщения 5 всё равно имейте в виду. Захватим, например, Winlogon, и задаём ему запускать IE - ещё как запустится если он на месте!

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Протестировать самому не хочется - тогда мне надо всю конфигурацию своей системы переделать. У меня, например, почти все расширения зарегистрированных файлов удалены (тоже неплохой способ против эксплойтов, кстати, когда сама система не знает, как тот или иной файл запускать), но методы обхода вашего метода найду вам. Тем более, что Майкрософт сама комментирует политики ограниченного использования программ предупреждениями где-то на сайте technet...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Потестируйте это пожалуйста. Мне очень интересно возможен ли такой обход моих ограничений для IE - для этого зловредописателям нужно будет попотеть - а зачем им это когда почти у всех пользователей IE не блокирован? Буду очень благодарен за конкретные факты и методы обхода моих ограничений, которыми может воспользоваться зловред.

Вирусописатели не будут расчитывать свои деяния на тех, кто подобным образом блокирует IE.

А вот то что они переориентировались на лису - это факт. Вас это более должно сейчас беспокоить :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Вирусописатели не будут расчитывать свои деяния на тех, кто подобным образом блокирует IE.

А вот то что они переориентировались на лису - это факт. Вас это более должно сейчас беспокоить :)

Да, вдря ли. У него же Опера? Или вы это говорите мне? ;)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Да, вдря ли. У него же Опера?

Ну тогда все пучком. Доля броузера и осторожность программистов сохранит его :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если вы не описываете блокировку IE средствами сетевого экрана в параметрах приложений, значит это не даёт требуемого эффекта ? Я средствами Symantec Endpoint Protection заблокировал сетевую активность IE 7полностью.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Если вы не описываете блокировку IE средствами сетевого экрана в параметрах приложений, значит это не даёт требуемого эффекта ?

Нет. Когда серьёзный зловред завладел компьютером, то тогда он может (если он не решится убить программу защиты) полностью отфильтровать то, что программы защиты получают от системы. Кроме того, он может даже начинать тип трафика, который не входит в стандартные протоколы. Но когда IE действительно недоступен, а он ему нужен (у спамботов часто бывает), то тогда у этого зловреда будут серьёзные проблемы всё-таки...

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Нет. Когда серьёзный зловред завладел компьютером, то тогда он может (если он не решится убить программу защиты) полностью отфильтровать то, что программы защиты получают от системы. Кроме того, он может даже начинать тип трафика, который не входит в стандартные протоколы. Но когда IE действительно недоступен, но он ему нужен, то тогда у этого зловреда будут серьёзные проблемы всё-таки...

Paul

Понятно, но есть один нюанс IE довольно сильно связан с ОС, не будут ли возникать различные глюки в системе при полном отключении IE ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Понятно, но есть один нюанс IE довольно сильно связан с ОС, не будут ли возникать различные глюки в системе при полном отключении IE ?

Его полностью отключать нельзя. Делать его недоступным для среднего типа зловреда, однако, можно на уровне системы. Я сказал бы, что метод, который предлагает Ingener + ссылка, которую я дал в сообщении №5 - неплохие варианты.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Нашёл в своих архивах красавец-способ:

Именно в данной последовательности: переименовать mshtml.dll в mshtml.dll.old

1. C:\Windows\ServicePackFiles\i386 - (эта папка i386 может в некоторых системах находиться по другому адресу)

2. C:\Windows\System32\dllcache

3. C:\Windows\System32

У меня точно уже не запускается никак. Скорее запускается его интерфейс ещё (только что попробовал через WallBreaker), но уже ничего читать/отправлять не может. :)

P.S.: Содержимое первых двух папок у меня отсутствует (удалил). Если у вас в процессе появится сообщение Защиты Файлов Windows с просьбой поставить установочный диск, то тогда нажать Отменить + ОК. Как только IE нужен, переименуем обратно (убираем 'old'). До того, как экспериментировать создаём, естественно, точку восстановления.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Этот способ для какой версии IE? На IE7 борода - данный способ не работает!

Это для стандартной установки XP (то есть - IE6). Обсудили на sysinternals в 2004 г.

mshtml.dll = Microsoft ® HTML Viewer

P.S.: Вы хотите сказать, что вы всё ещё страницы html можете смотреть с помощью IE?

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Это для стандартной установки XP (то есть - IE6). Обсудили на sysinternals в 2004 г.

mshtml.dll = Microsoft ® HTML Viewer

P.S.: Вы хотите сказать, что вы всё ещё страницы html можете смотреть с помощью IE?

Paul

Да могу. Всё работает как раньше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Да могу. Всё работает как раньше.

Я подозреваю, что вы не до конца обезвредили этот dll (то есть - Windows создала у вас новый).

Есть, конечно, другой способ, но он более рискованный: Regsvr32 /u mshtml.dll и потом уже переименовать.

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Я только отвечаю по тематике в вашем топике. Я никому (особенно простым пользователям) в жизни ещё не рекомендовал обезвредить IE. Отключить службы - другое дело; это действительно необходимо. :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Извиняюсь - если оскорбил вас своими комментариями. Просто я хотел предупредить пользователей, что данный метод может не сработать.

Я не обиделся. Всё верно. У меня сработало (скорее всего это комбинация моих других способов и тот факт, что у меня IE6). Буду и применять ваш метод. ;)

Update: Это невозможно - испольнительного файла IE нет у меня (запустил свой батник и он исчез). Проблему с explorer.exe (проводником) мы всё равно не решим... :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • alamor
      Два спамера дают ссылку на левый сайт и пытаются выдать за оф. сайт 
       
    • ToptynOON
      Желательно оставлять ссылку на официальный сайт, у вас конечно не много рекламы но все же есть риск скачать амиго. Так что ссылка на оф.сайт http://adguard.mobi/
    • PR55.RP55
      Разобрался в чём дело. uVS  не видит настройки. А именно:  Перенес кеша Google Chrome, Firefox или Opera и т.д. т.е. не видит изменения в файле:  profiles.ini %appdata%\Mozilla\Firefox\profiles.ini uVS просто всё сносит по Alt+Del - все настройки, расширения, закладки. Про перенос кеша браузеров: https://sonikelf.ru/perenos-kesha-brauzerov-google-chrome-firefox-opera/ Я так понимаю, что он при изменении настроек много чего не видит ( думаю и ряд активных файлов\дополнений )
    • PR55.RP55
      + По этой теме:  http://www.tehnari.ru/f35/t256998/ C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\WINHTTP.DLL Файл не попал в список подозрительных - хотя имя файла соответствует системному: C:\WINDOWS\SYSWOW64\WINHTTP.DLL
      C:\WINDOWS\SYSTEM32\WINHTTP.DLL + Файл явно в автозапуске  - чего опять же не видно. по всей видимости ситуация аналогична раннее исправленной ошибке с wsaudio.dll ----------- + Вчера запустил uVS > отфильтровал все отсутствующие и применил для них: все файлы в текущей категории ( с учётом фильтра проверены )  > и  применил Alt+Del У меня на Mozilla Firefox снесло все расширения ( 3) два из которых были отключены. причём сами файлы в каталоге: Application Data\Mozilla\Firefox\Profiles\********.default\extensions присутствуют - но браузер их не видит.
    • santy
      и здесь тот случай, когда предполагаемое вредоносное действие может быть задетектировано через критерии, но статус "проверенный" восстанавливается за счет чистого хэша легитимного файла.