Windows Стать владельцем и задать полный доступ к объекту

Сообщения
1,190
Симпатии
1,480
Баллы
553
#1
В Windows Vista/7 имеется система защиты важных, с точки зрения ОС, файлов и папок от изменений, и все бы хорошо, но она может вызывать достаточно серьезные сложности при работе с операционной системой. Например, невозможно удалить, переименовать или изменить файлы, выяснилось, что некоторые программы отказываются устанавливаться, причем никакие известные методы борьбы с этим явлением - ни включение хорошо известного по Windows XP режима совместимости, ни пляски с бубном вокруг компьютера, ни даже такой очень эффективный новомодный метод разрешения проблем - не помогают.

Имеется более быстрый метод снятия защиты с файлов и папок Windows Vista.
Внесите данные в реестр, запустив файл "Security.reg". После внесения данных в реестр у вас появится новая опция в контекстном меню Проводника - "Стать владельцем и задать полный доступ к объекту" . Чтобы увидеть эту строку удерживайте клавишу "Shift", выделите папку или файл, которым вы хотите завладеть и задать полный доступ, щелкните правой кнопкой мышки по объекту и выберите строчку "Стать владельцем и задать полный доступ к объекту", после чего вы мгновенно станете владельцем объекта, сможете переименовывать, удалять, изменять и выполнять иные действия с ним.
 

Вложения

Vadim Sterkin

VN Наблюдательный совет
Сообщения
108
Симпатии
81
Баллы
433
#2
Сообщения
1,190
Симпатии
1,480
Баллы
553
#3
прошу пояснить почему....

Данным решением следует пользоваться, только если изменение, внесенное в безопасность компьютера, имело отрицательные последствия
у меня всё нормально...
 

Vadim Sterkin

VN Наблюдательный совет
Сообщения
108
Симпатии
81
Баллы
433
#4
Это ничего не значит :) Как минимум, снижается безопасность и целостность системы. Поясняю цитатой из Безопасность: Повышение безопасности в ОС Windows Vista с помощью новых списков управления доступом (ACL)

Учетная запись Trusted Installer
В ОС Windows Vista владельцем большинства системных файлов является идентификатор безопасности (SID) «TrustedInstaller», и только у этого идентификатора есть полный доступ к этим файлам. Эта мера является частью комплекса мер, принятых в ОС Windows Vista для обеспечения целостности системы. Она препятствует процессам, запущенным с правами администратора или учетной записи «Local System», автоматически изменять эти файлы. Чтобы удалить системный файл, необходимо стать владельцем этого файла, а затем добавить запись ACE, позволяющую удалить его. Такой подход предоставляет некоторую степень защиты от процессов, запущенных с правами учетной записи «LocalSystem» с системной меткой целостности. Процессы с более низкой целостностью не могут повысить свои права для изменения владельца объекта. Некоторым службам можно установить средний уровень целостности, несмотря на то, что они запущены с правами учетной записи «Local System». Такие службы не смогут заменить системные файлы, поэтому в случае атаки и захвата управления этой службой, атакующая программа также не сможет заменить системные файлы, поэтому вредоносным программам (в том числе скрытым) будет сложнее установить себя в систему. Также администраторы больше не смогут удалить системные файлы, которые они по каким-то своим соображениям считают ненужными.
Я думаю, что снижение безопасности - это отрицательные последствия :)

На OSZone несколько раз были темы, в которых люди плакались по поводу проблем в работе ОС после взятия на себя владения системными папками - не хочется тратить время на поиски. Ну вот один хотя бы 167.

А зачем вам быть владельцем системных папок? Я видел аргументы типа "хочу быть полноправным владельцем всего, я так привык - как это, меня, админа, винда не пускает???". В той же теме, откуда пример. Это неубедительно :) И это человек дальше признается, что раз в месяц переставляет ОС - он ее просто убивает подобными действиями.

Чтобы туда что-то скопировать? Ну так запустите командную строку от имени админа и copy /?. Вы же не каждый день это делаете. Либо можно UAC отключить для выполнения этой операции.
 
Последнее редактирование:
Сообщения
1,190
Симпатии
1,480
Баллы
553
#5
программа от модема часто не находит порт. для нахождения оной порта ничего не помогает. чтобы всё снова заработало, нужно её удалить. виста это делать не даёт, закрывая доступ к папкам, даже если отключу UAC. через установка/удаление остаётся много мусора и модем порт так и не находит.
проблем при использовании не наблюдаю, причем виста всё равно даже если нажимаешь полный доступ к папке Windows, этого полного доступа не дает. и использование оного изменения с головой считаю удобным.
 

born

Пользователь
Сообщения
49
Симпатии
32
Баллы
28
#6
Прошу прощения за глупый вопрос, господа консультанты, не порекомендуете -ли учебную статью с углублёнными сведениями, что такое метка "null" на ключах реестра Windows и почему их ( а также процессы инициированные этими ключами) невозможно удалить и остановить. Перешерстил ресурсы, но там только глухие упоминания либо что-то невнятное. Заранее благодарю. Ещё раз извините за отвлечение от своих занятий.
 

Кирилл

Команда форума
Администратор
Сообщения
13,589
Симпатии
6,026
Баллы
843
#7
что такое метка "null" на ключах реестра Windows и почему их ( а также процессы инициированные этими ключами) невозможно удалить и остановить
Вы имеете ввиду значение параметра реестра - NULL ?
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,963
Симпатии
5,786
Баллы
588
#9
Вы имеете ввиду значение параметра реестра - NULL ?
Обычно, речь идёт об именовании, а не значении параметра.

born, почитайте:
Скрытые ключи реестра
Операции с реестром с помощью Native API

Сложность в том, что большинство программ используют WinAPI. Для доступа к ключам, в имени которых содержится знак 0x00 требуются функции NativeAPI,
вызов которых немного сложнее, к тому же они частично не-документированы.

Редактор реестра NtRegedit для работы с такими ключами мы компилировали в этой теме: https://safezone.cc/threads/nabor-programm-dlja-raboty-s-reestrom.19778/
 

born

Пользователь
Сообщения
49
Симпатии
32
Баллы
28
#10
Dragokas, благодарю! Скажите пожалуйста, а каким образом вредоносы получают возможность использовать nativeAPI для именовании ключей и их скрытия? В статьях и найденных мной уже самостоятельно материалах, говорится о запуске этого интерфейса ещё на этапе загрузки ОС, чуть ли не раньше драйверов. Потом, для доступа к интерфейсу требуются определённые права. А ключи антивирусных приложений также защищаются от их удаления или перезаписи или нет?
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
5,963
Симпатии
5,786
Баллы
588
#11
born, необходимо разделить понятия.

Во время создания процесса в его адресное пространство подгружаются библиотеки (файлы .dll) те, что указаны в списке импорта + другие (при динамическом вызове функций).
Из этих библиотек вызываются функции. Основными библиотеками являются:

ntdll.dll - функции Native API (обычно их имена начинаются с приставок Nt, Zw).
kernel32.dll и все остальные библиотеки - функции Windows API.

Во время загрузки ОС, первой подгружается ntdll.dll. Соответственно Boot-драйвера имеют доступ только к Native API функциям.
На этом же этапе ещё до входа в систему есть некий загрузочный (Native) режим (о котором я и сам немного знаю). В нём также доступны всё ещё только функции Native API.

Затем система подгружает kernel32.dll и доступен уже более широкий набор функций.

В контексте разграничения привилегий существует два основных режима работы программ:
1. В user-mode (пользовательский режим), кольцо 3.
2. В kernel-mode (режим ядра), кольца 0, 1, 2.
... ну, есть еще гипервизор, реализация разграничения области исполнения кода на уровне процессора.

Из-под user-mode Вам доступны практически любые функции*, в т.ч. Native API. Т.е. вы можете свободно создавать Null-embedded ключи реестра. Защита вируса реализована на мало-документированных особенностях и в рассчёте на то, что некоторые защитные средства используют функции работы с реестром из kernel32, т.е. не будут видеть подобных ключей. В том числе и родной редактор реестра Windows.

* Теперь на счёт самозащиты антивирусов. Из-под user-mode у вас есть доступ ко многим функциям, но не всем.
Часть из функций может быть вызвана только из-под kernel-mode, т.е. драйвером.
Возьмём, например, антивирус Касперского. Там используется целый ряд драйверов, с помощью которых реализованы фильтры и хуки, поставленные на определённые файлы и ключи реестра.
Доступ к реестру контролируется через CmRegisterCallback. После регистрации этой функции обратного вызова, ей передаётся управление каждый раз, как только система получает запрос на доступ к какому либо ключу реестра. И если драйвер Касперского в этой функции вернёт false, то доступ к запрашиваемому объекту будет запрещён системой.

Вы можете больше для себя подчерпнуть, почитав про руткиты, например:
Kyocera
Обнаружение руткитов режима ядра с помощью отладчика
ещё у Зайцева Олега можете посмотреть интересные статьи.
 

born

Пользователь
Сообщения
49
Симпатии
32
Баллы
28
#12
Всё понял. Благодарю за ответы, информацию, статьи и уделённое мне время. Дальше буду заниматься сам, т.к. начальная информация усвоена. Отдельно благодарю за статьи, всё на русском и доходчиво. На английском немного читаю, но приходится переводить со словарем, т. к. "переводчики" в технических статьях выдают всякую чушь и приходится много возится с переводом. Желаю вам успеха!
 
Сверху Снизу