Windows Стать владельцем и задать полный доступ к объекту

I

iolka

VIP
Сообщения
1,190
Реакции
1,480
Баллы
553
В Windows Vista/7 имеется система защиты важных, с точки зрения ОС, файлов и папок от изменений, и все бы хорошо, но она может вызывать достаточно серьезные сложности при работе с операционной системой. Например, невозможно удалить, переименовать или изменить файлы, выяснилось, что некоторые программы отказываются устанавливаться, причем никакие известные методы борьбы с этим явлением - ни включение хорошо известного по Windows XP режима совместимости, ни пляски с бубном вокруг компьютера, ни даже такой очень эффективный новомодный метод разрешения проблем - не помогают.

Имеется более быстрый метод снятия защиты с файлов и папок Windows Vista.
Внесите данные в реестр, запустив файл "Security.reg". После внесения данных в реестр у вас появится новая опция в контекстном меню Проводника - "Стать владельцем и задать полный доступ к объекту" . Чтобы увидеть эту строку удерживайте клавишу "Shift", выделите папку или файл, которым вы хотите завладеть и задать полный доступ, щелкните правой кнопкой мышки по объекту и выберите строчку "Стать владельцем и задать полный доступ к объекту", после чего вы мгновенно станете владельцем объекта, сможете переименовывать, удалять, изменять и выполнять иные действия с ним.
 

Вложения

Vadim Sterkin

Vadim Sterkin

VN Наблюдательный совет
Сообщения
108
Реакции
81
Баллы
433
I

iolka

VIP
Сообщения
1,190
Реакции
1,480
Баллы
553
прошу пояснить почему....

Данным решением следует пользоваться, только если изменение, внесенное в безопасность компьютера, имело отрицательные последствия
у меня всё нормально...
 
Vadim Sterkin

Vadim Sterkin

VN Наблюдательный совет
Сообщения
108
Реакции
81
Баллы
433
у меня всё нормально...
Это ничего не значит :) Как минимум, снижается безопасность и целостность системы. Поясняю цитатой из Безопасность: Повышение безопасности в ОС Windows Vista с помощью новых списков управления доступом (ACL)

Учетная запись Trusted Installer
В ОС Windows Vista владельцем большинства системных файлов является идентификатор безопасности (SID) «TrustedInstaller», и только у этого идентификатора есть полный доступ к этим файлам. Эта мера является частью комплекса мер, принятых в ОС Windows Vista для обеспечения целостности системы. Она препятствует процессам, запущенным с правами администратора или учетной записи «Local System», автоматически изменять эти файлы. Чтобы удалить системный файл, необходимо стать владельцем этого файла, а затем добавить запись ACE, позволяющую удалить его. Такой подход предоставляет некоторую степень защиты от процессов, запущенных с правами учетной записи «LocalSystem» с системной меткой целостности. Процессы с более низкой целостностью не могут повысить свои права для изменения владельца объекта. Некоторым службам можно установить средний уровень целостности, несмотря на то, что они запущены с правами учетной записи «Local System». Такие службы не смогут заменить системные файлы, поэтому в случае атаки и захвата управления этой службой, атакующая программа также не сможет заменить системные файлы, поэтому вредоносным программам (в том числе скрытым) будет сложнее установить себя в систему. Также администраторы больше не смогут удалить системные файлы, которые они по каким-то своим соображениям считают ненужными.
Я думаю, что снижение безопасности - это отрицательные последствия :)

На OSZone несколько раз были темы, в которых люди плакались по поводу проблем в работе ОС после взятия на себя владения системными папками - не хочется тратить время на поиски. Ну вот один хотя бы 167.

А зачем вам быть владельцем системных папок? Я видел аргументы типа "хочу быть полноправным владельцем всего, я так привык - как это, меня, админа, винда не пускает???". В той же теме, откуда пример. Это неубедительно :) И это человек дальше признается, что раз в месяц переставляет ОС - он ее просто убивает подобными действиями.

Чтобы туда что-то скопировать? Ну так запустите командную строку от имени админа и copy /?. Вы же не каждый день это делаете. Либо можно UAC отключить для выполнения этой операции.
 
Последнее редактирование:
I

iolka

VIP
Сообщения
1,190
Реакции
1,480
Баллы
553
программа от модема часто не находит порт. для нахождения оной порта ничего не помогает. чтобы всё снова заработало, нужно её удалить. виста это делать не даёт, закрывая доступ к папкам, даже если отключу UAC. через установка/удаление остаётся много мусора и модем порт так и не находит.
проблем при использовании не наблюдаю, причем виста всё равно даже если нажимаешь полный доступ к папке Windows, этого полного доступа не дает. и использование оного изменения с головой считаю удобным.
 
born

born

Пользователь
Сообщения
49
Реакции
32
Баллы
28
Прошу прощения за глупый вопрос, господа консультанты, не порекомендуете -ли учебную статью с углублёнными сведениями, что такое метка "null" на ключах реестра Windows и почему их ( а также процессы инициированные этими ключами) невозможно удалить и остановить. Перешерстил ресурсы, но там только глухие упоминания либо что-то невнятное. Заранее благодарю. Ещё раз извините за отвлечение от своих занятий.
 
Кирилл

Кирилл

Команда форума
Администратор
Сообщения
13,731
Реакции
6,110
Баллы
913
что такое метка "null" на ключах реестра Windows и почему их ( а также процессы инициированные этими ключами) невозможно удалить и остановить
Вы имеете ввиду значение параметра реестра - NULL ?
 
born

born

Пользователь
Сообщения
49
Реакции
32
Баллы
28
Совершенно верно.
 
Dragokas

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,051
Реакции
5,846
Баллы
648
Вы имеете ввиду значение параметра реестра - NULL ?
Обычно, речь идёт об именовании, а не значении параметра.

born, почитайте:
Скрытые ключи реестра
Операции с реестром с помощью Native API

Сложность в том, что большинство программ используют WinAPI. Для доступа к ключам, в имени которых содержится знак 0x00 требуются функции NativeAPI,
вызов которых немного сложнее, к тому же они частично не-документированы.

Редактор реестра NtRegedit для работы с такими ключами мы компилировали в этой теме: https://safezone.cc/threads/nabor-programm-dlja-raboty-s-reestrom.19778/
 
born

born

Пользователь
Сообщения
49
Реакции
32
Баллы
28
Dragokas, благодарю! Скажите пожалуйста, а каким образом вредоносы получают возможность использовать nativeAPI для именовании ключей и их скрытия? В статьях и найденных мной уже самостоятельно материалах, говорится о запуске этого интерфейса ещё на этапе загрузки ОС, чуть ли не раньше драйверов. Потом, для доступа к интерфейсу требуются определённые права. А ключи антивирусных приложений также защищаются от их удаления или перезаписи или нет?
 
Dragokas

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,051
Реакции
5,846
Баллы
648
born, необходимо разделить понятия.

Во время создания процесса в его адресное пространство подгружаются библиотеки (файлы .dll) те, что указаны в списке импорта + другие (при динамическом вызове функций).
Из этих библиотек вызываются функции. Основными библиотеками являются:

ntdll.dll - функции Native API (обычно их имена начинаются с приставок Nt, Zw).
kernel32.dll и все остальные библиотеки - функции Windows API.

Во время загрузки ОС, первой подгружается ntdll.dll. Соответственно Boot-драйвера имеют доступ только к Native API функциям.
На этом же этапе ещё до входа в систему есть некий загрузочный (Native) режим (о котором я и сам немного знаю). В нём также доступны всё ещё только функции Native API.

Затем система подгружает kernel32.dll и доступен уже более широкий набор функций.

В контексте разграничения привилегий существует два основных режима работы программ:
1. В user-mode (пользовательский режим), кольцо 3.
2. В kernel-mode (режим ядра), кольца 0, 1, 2.
... ну, есть еще гипервизор, реализация разграничения области исполнения кода на уровне процессора.

Из-под user-mode Вам доступны практически любые функции*, в т.ч. Native API. Т.е. вы можете свободно создавать Null-embedded ключи реестра. Защита вируса реализована на мало-документированных особенностях и в рассчёте на то, что некоторые защитные средства используют функции работы с реестром из kernel32, т.е. не будут видеть подобных ключей. В том числе и родной редактор реестра Windows.

* Теперь на счёт самозащиты антивирусов. Из-под user-mode у вас есть доступ ко многим функциям, но не всем.
Часть из функций может быть вызвана только из-под kernel-mode, т.е. драйвером.
Возьмём, например, антивирус Касперского. Там используется целый ряд драйверов, с помощью которых реализованы фильтры и хуки, поставленные на определённые файлы и ключи реестра.
Доступ к реестру контролируется через CmRegisterCallback. После регистрации этой функции обратного вызова, ей передаётся управление каждый раз, как только система получает запрос на доступ к какому либо ключу реестра. И если драйвер Касперского в этой функции вернёт false, то доступ к запрашиваемому объекту будет запрещён системой.

Вы можете больше для себя подчерпнуть, почитав про руткиты, например:
Kyocera
Обнаружение руткитов режима ядра с помощью отладчика
ещё у Зайцева Олега можете посмотреть интересные статьи.
 
born

born

Пользователь
Сообщения
49
Реакции
32
Баллы
28
Всё понял. Благодарю за ответы, информацию, статьи и уделённое мне время. Дальше буду заниматься сам, т.к. начальная информация усвоена. Отдельно благодарю за статьи, всё на русском и доходчиво. На английском немного читаю, но приходится переводить со словарем, т. к. "переводчики" в технических статьях выдают всякую чушь и приходится много возится с переводом. Желаю вам успеха!
 
Сверху Снизу