Windows Стать владельцем и задать полный доступ к объекту

Тема в разделе "Реестр Microsoft Windows", создана пользователем iolka, 20 мар 2009.

  1. iolka
    Оффлайн

    iolka Ветеран

    Сообщения:
    1.210
    Симпатии:
    2.684
    В Windows Vista/7 имеется система защиты важных, с точки зрения ОС, файлов и папок от изменений, и все бы хорошо, но она может вызывать достаточно серьезные сложности при работе с операционной системой. Например, невозможно удалить, переименовать или изменить файлы, выяснилось, что некоторые программы отказываются устанавливаться, причем никакие известные методы борьбы с этим явлением - ни включение хорошо известного по Windows XP режима совместимости, ни пляски с бубном вокруг компьютера, ни даже такой очень эффективный новомодный метод разрешения проблем - не помогают.

    Имеется более быстрый метод снятия защиты с файлов и папок Windows Vista.
    Внесите данные в реестр, запустив файл "Security.reg". После внесения данных в реестр у вас появится новая опция в контекстном меню Проводника - "Стать владельцем и задать полный доступ к объекту" . Чтобы увидеть эту строку удерживайте клавишу "Shift", выделите папку или файл, которым вы хотите завладеть и задать полный доступ, щелкните правой кнопкой мышки по объекту и выберите строчку "Стать владельцем и задать полный доступ к объекту", после чего вы мгновенно станете владельцем объекта, сможете переименовывать, удалять, изменять и выполнять иные действия с ним.
     

    Вложения:

    • Security.rar
      Размер файла:
      444 байт
      Просмотров:
      111
    2 пользователям это понравилось.
  2. Vadim Sterkin
    Оффлайн

    Vadim Sterkin VN Наблюдательный совет

    Сообщения:
    108
    Симпатии:
    152
    Kиpилл нравится это.
  3. iolka
    Оффлайн

    iolka Ветеран

    Сообщения:
    1.210
    Симпатии:
    2.684
    прошу пояснить почему....

    у меня всё нормально...
     
  4. Vadim Sterkin
    Оффлайн

    Vadim Sterkin VN Наблюдательный совет

    Сообщения:
    108
    Симпатии:
    152
    Это ничего не значит :) Как минимум, снижается безопасность и целостность системы. Поясняю цитатой из Безопасность: Повышение безопасности в ОС Windows Vista с помощью новых списков управления доступом (ACL)

    Я думаю, что снижение безопасности - это отрицательные последствия :)

    На OSZone несколько раз были темы, в которых люди плакались по поводу проблем в работе ОС после взятия на себя владения системными папками - не хочется тратить время на поиски. Ну вот один хотя бы 167.

    А зачем вам быть владельцем системных папок? Я видел аргументы типа "хочу быть полноправным владельцем всего, я так привык - как это, меня, админа, винда не пускает???". В той же теме, откуда пример. Это неубедительно :) И это человек дальше признается, что раз в месяц переставляет ОС - он ее просто убивает подобными действиями.

    Чтобы туда что-то скопировать? Ну так запустите командную строку от имени админа и copy /?. Вы же не каждый день это делаете. Либо можно UAC отключить для выполнения этой операции.
     
    Последнее редактирование: 9 апр 2009
    Kиpилл нравится это.
  5. iolka
    Оффлайн

    iolka Ветеран

    Сообщения:
    1.210
    Симпатии:
    2.684
    программа от модема часто не находит порт. для нахождения оной порта ничего не помогает. чтобы всё снова заработало, нужно её удалить. виста это делать не даёт, закрывая доступ к папкам, даже если отключу UAC. через установка/удаление остаётся много мусора и модем порт так и не находит.
    проблем при использовании не наблюдаю, причем виста всё равно даже если нажимаешь полный доступ к папке Windows, этого полного доступа не дает. и использование оного изменения с головой считаю удобным.
     
  6. born
    Оффлайн

    born Новый пользователь

    Сообщения:
    18
    Симпатии:
    5
    Прошу прощения за глупый вопрос, господа консультанты, не порекомендуете -ли учебную статью с углублёнными сведениями, что такое метка "null" на ключах реестра Windows и почему их ( а также процессы инициированные этими ключами) невозможно удалить и остановить. Перешерстил ресурсы, но там только глухие упоминания либо что-то невнятное. Заранее благодарю. Ещё раз извините за отвлечение от своих занятий.
     
  7. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Сообщения:
    12.650
    Симпатии:
    5.203
    Вы имеете ввиду значение параметра реестра - NULL ?
     
  8. born
    Оффлайн

    born Новый пользователь

    Сообщения:
    18
    Симпатии:
    5
    Совершенно верно.
     
  9. Dragokas
    Онлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.738
    Симпатии:
    4.537
    Обычно, речь идёт об именовании, а не значении параметра.

    born, почитайте:
    Скрытые ключи реестра
    Операции с реестром с помощью Native API

    Сложность в том, что большинство программ используют WinAPI. Для доступа к ключам, в имени которых содержится знак 0x00 требуются функции NativeAPI,
    вызов которых немного сложнее, к тому же они частично не-документированы.

    Редактор реестра NtRegedit для работы с такими ключами мы компилировали в этой теме: https://safezone.cc/threads/nabor-programm-dlja-raboty-s-reestrom.19778/
     
    born и Kиpилл нравится это.
  10. born
    Оффлайн

    born Новый пользователь

    Сообщения:
    18
    Симпатии:
    5
    Dragokas, благодарю! Скажите пожалуйста, а каким образом вредоносы получают возможность использовать nativeAPI для именовании ключей и их скрытия? В статьях и найденных мной уже самостоятельно материалах, говорится о запуске этого интерфейса ещё на этапе загрузки ОС, чуть ли не раньше драйверов. Потом, для доступа к интерфейсу требуются определённые права. А ключи антивирусных приложений также защищаются от их удаления или перезаписи или нет?
     
  11. Dragokas
    Онлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.738
    Симпатии:
    4.537
    born, необходимо разделить понятия.

    Во время создания процесса в его адресное пространство подгружаются библиотеки (файлы .dll) те, что указаны в списке импорта + другие (при динамическом вызове функций).
    Из этих библиотек вызываются функции. Основными библиотеками являются:

    ntdll.dll - функции Native API (обычно их имена начинаются с приставок Nt, Zw).
    kernel32.dll и все остальные библиотеки - функции Windows API.

    Во время загрузки ОС, первой подгружается ntdll.dll. Соответственно Boot-драйвера имеют доступ только к Native API функциям.
    На этом же этапе ещё до входа в систему есть некий загрузочный (Native) режим (о котором я и сам немного знаю). В нём также доступны всё ещё только функции Native API.

    Затем система подгружает kernel32.dll и доступен уже более широкий набор функций.

    В контексте разграничения привилегий существует два основных режима работы программ:
    1. В user-mode (пользовательский режим), кольцо 3.
    2. В kernel-mode (режим ядра), кольца 0, 1, 2.
    ... ну, есть еще гипервизор, реализация разграничения области исполнения кода на уровне процессора.

    Из-под user-mode Вам доступны практически любые функции*, в т.ч. Native API. Т.е. вы можете свободно создавать Null-embedded ключи реестра. Защита вируса реализована на мало-документированных особенностях и в рассчёте на то, что некоторые защитные средства используют функции работы с реестром из kernel32, т.е. не будут видеть подобных ключей. В том числе и родной редактор реестра Windows.

    * Теперь на счёт самозащиты антивирусов. Из-под user-mode у вас есть доступ ко многим функциям, но не всем.
    Часть из функций может быть вызвана только из-под kernel-mode, т.е. драйвером.
    Возьмём, например, антивирус Касперского. Там используется целый ряд драйверов, с помощью которых реализованы фильтры и хуки, поставленные на определённые файлы и ключи реестра.
    Доступ к реестру контролируется через CmRegisterCallback. После регистрации этой функции обратного вызова, ей передаётся управление каждый раз, как только система получает запрос на доступ к какому либо ключу реестра. И если драйвер Касперского в этой функции вернёт false, то доступ к запрашиваемому объекту будет запрещён системой.

    Вы можете больше для себя подчерпнуть, почитав про руткиты, например:
    Kyocera
    Обнаружение руткитов режима ядра с помощью отладчика
    ещё у Зайцева Олега можете посмотреть интересные статьи.
     
    born, Kиpилл и Severnyj нравится это.
  12. born
    Оффлайн

    born Новый пользователь

    Сообщения:
    18
    Симпатии:
    5
    Всё понял. Благодарю за ответы, информацию, статьи и уделённое мне время. Дальше буду заниматься сам, т.к. начальная информация усвоена. Отдельно благодарю за статьи, всё на русском и доходчиво. На английском немного читаю, но приходится переводить со словарем, т. к. "переводчики" в технических статьях выдают всякую чушь и приходится много возится с переводом. Желаю вам успеха!
     
    Kиpилл и Dragokas нравится это.