Компьютерный портал
| Расширенный
  • Страница 1 из 1
  • 1
Модератор форума: fixap, Drinko  
Запуск от имени Local System и Trusted Installer
Drinko
Аватар Drinko

DG Win&Soft
Администратор

Сообщений: 11628

Запуск от имени Local System

Иногда требуется удалить какие-нибудь «очень защищённые» файлы, или поправить реестр. Если в WinXP это можно было обойти легко, всего лишь выставив себе нужные права, то в Vista мы получили геморрой по имени “Trusted Installer”. И сейчас бывает действительно необходимо использовать системную учётную запись.

Для запуска от имени Local System используется временный сервис (который работает под этим аккаунтом). Он запускает cmd.exe (это можно легко поправить в исходниках). Сначала сервис распаковывается из ресурсов, потом устанавливается, запускается, запускает cmd, и завершается, удаляя за собой временный сервис.

В WinXP запущенная программа будет видна сразу. В Vista из соображений безопасности все сервисы запускаются на отдельной оконной станции (window station). Поэтому после запуска вылазит такое вот сообщение:

Жмём “Show me the message”, и пользуемся полученными привелегиями wink

Скачать

-------
Во имя ALTа, CTRLа и святого DELETE
Enter
-------
База знаний по Windows 8.1 | Качаем Драйвера
sysprg
Аватар sysprg

Почетный

Сообщений: 4673

ПРЕДУПРЕЖДЕНИЕ. Описываемую ниже технологию следует применять лишь четко осознавая ЧТО именно Вы хотите сделать и к каким последствиям это может привести. Необдуманное применение может вызвать крах системы.
После столь грозного предупреждения, опишу совершенно невинные действия по извлечению из Registry интересующей меня информации, которая невозможно извлечь обладая правами администратора. Вот пример попытки войти в ветку с именем Properties:

К счастью существует команда Марка Руссиновича ( www.sysinternals.com ), создавшая большой набор очень полезных утилит. Одна из них, под названием psexec.exe, позволила мне удовлетворить свое любопытство и таки заглянуть внутрь ветки Properties:
Понятно, что мое любопытсво в данном случае поймет лишь ничтожное количество читателей, но ведь подобных защищенных веток в системном реестре - тысячи и многие из них наверняка содержат более интересную информацию. Cразу подчеркну, что ВСЕ такие ветки содержат КРИТИЧЕСКУЮ для работы системы информацию, которую ни в коем случае не рекомендуется изменять или удалять. Теперь давайте разберемся с тем, что же именно делает утилита psexec.exe ( очевидно и козе, что запускать ее надо с административными правами ). Ответ на этот вопрос под спойлером.
Заключительные замечания и рекомендации. Хотя многим уже стало понятно, что запустив с помощью psexec.exe скажем Проводник или Тотальный командир, они смогут влет удалять к примеру Windows.Old, я КАТЕГОРИЧЕСКИ не рекомендую это делать, тем более не очень грамотным и опытным пользователям. Ведь неизвестно где, скажем в системном реестре или в пользовательских профайлах или еще где-то, хранится информация об удаляемых директориях. Именно поэтому удаление скажем Windows.Old все же БЕЗОПАСНЕЙ осуществлять штатным средством cleanmgr.exe.
С другой стороны, использование утилиты PSExec именно так, как я описал применительно к ЧТЕНИЮ конкретных веток Registry, абсолютно безопасно.
MedMeks
Аватар MedMeks

Администратор

Сообщений: 5612

Цитата sysprg ()
которая невозможно извлечь обладая правами администратора

Под root тоже не возможно зайти в эти ветки или как?
sysprg
Отредактировано sysprg - 17.10.2016, 18:51
Аватар sysprg

Почетный

Сообщений: 4673

Цитата MedMeks ()
Под root тоже не возможно зайти в эти ветки или как?
Боюсь, что НЕТ, но проверьте, я не проверял. Все же мне представляетс сомнительным, чтобы пользователю BASH назначались права SYSTEM независимо от того, под каким идом запущен процесс. Все же BASH внедрен под Windows не для управления Windows, а в первую очередь для разработки кода *nix в среде Windows
Александр_К
Отредактировано Александр_К - 17.10.2016, 18:57
Аватар Александр_К

Почетный

Сообщений: 571

Есть очень хорошая утилита с графическим интерфейсом RunAsSystem



Скачать
MedMeks
Аватар MedMeks

Администратор

Сообщений: 5612

Цитата sysprg ()
чтобы пользователю BASH назначались права SYSTEM независимо от того

Олег, Вы немножко меня не поняли. Под root я имел ввиду встроенного админа, а не того админа которого по умолчанию назначает система.
sysprg
Отредактировано sysprg - 17.10.2016, 20:11
Аватар sysprg

Почетный

Сообщений: 4673

Цитата MedMeks ()
встроенного админа, а не того админа которого по умолчанию назначает система.

Понятно, так называемый TrustedInstaller. Но насколько я понимаю, это и есть SYSTEM, которая при назначении прав указывает это фиктивное имя. Не думаю, что реально можно логиниться под TrustedInstaller. А что касается вcтроенного Administrator, то он НИГДЕ в правах не прописан и потому бесполезен
MedMeks
Отредактировано MedMeks - 17.10.2016, 20:11
Аватар MedMeks

Администратор

Сообщений: 5612

Проверил. А теперь результат.
Во первых, то что под админом нет доступа к разделу, это ошибка мелких, так как у данного раздела нет владельца.

Во вторых, после назначения владельца в ручную, под встроенным админом свободный доступ в полный рост.
Не требуются ни какие дополнительные утилиты!!!

Остальное допишу в личку.
Drinko
Аватар Drinko

Автор темы
DG Win&Soft
Администратор

Сообщений: 11628

Цитата MedMeks ()
у данного раздела нет владельца

Есть, просто у вашей учетной записи нет прав для просмотра этих сведений.
Цитата MedMeks ()
после назначения владельца в ручную, под встроенным админом свободный доступ в полный рост

Нарушение целостности параметров безопасности и прав доступа к веткам реестра это конечно круто. Только потом на глюки не жалуйтесь.
-------
Во имя ALTа, CTRLа и святого DELETE
Enter
-------
База знаний по Windows 8.1 | Качаем Драйвера
MedMeks
Отредактировано MedMeks - 17.10.2016, 21:01
Аватар MedMeks

Администратор

Сообщений: 5612

Цитата Drinko ()
Есть, просто у вашей учетной записи нет прав для просмотра этих сведений.

У встроенного админа нет прав для просмотра?

Цитата Drinko ()
Только потом на глюки не жалуйтесь.

Вот уж чего за собой не замечал, так этого. Ни глюков, ни жалоб.
Drinko
Аватар Drinko

Автор темы
DG Win&Soft
Администратор

Сообщений: 11628

Цитата MedMeks ()
У встроенного админа нет прав для просмотра?

Да, если владелец не является пользователем данного ПК\домена.
-------
Во имя ALTа, CTRLа и святого DELETE
Enter
-------
База знаний по Windows 8.1 | Качаем Драйвера
MedMeks
Аватар MedMeks

Администратор

Сообщений: 5612

Цитата Drinko ()
если владелец не является пользователем данного ПК\домена.

Внимание, Вопрос?
Как может встроенный администратор данного ПК - не являться пользователем данного ПК? Все действия происходят на одной и той же машине.
Drinko
Аватар Drinko

Автор темы
DG Win&Soft
Администратор

Сообщений: 11628

MedMeks, внимание ответ:
Цитата MedMeks ()
у данного раздела нет владельца

Мы же про владельца ветки реестра говорим smile
-------
Во имя ALTа, CTRLа и святого DELETE
Enter
-------
База знаний по Windows 8.1 | Качаем Драйвера
MedMeks
Отредактировано MedMeks - 18.10.2016, 10:29
Аватар MedMeks

Администратор

Сообщений: 5612

Цитата Drinko ()
Мы же про владельца ветки реестра говорим

Ну нету у этой ветки ни какого владельца. Даже "разработчика"
Так же нет наследования прав от выше стоящего объекта.
Скрин что-то выложить не могу, загрузка изображений подвисает.
  • Страница 1 из 1
  • 1
Поиск:
В связи с введением в действие Постановления Правительства Российской Федерации от 14.11.2023 № 1905 т.н. "о запрете популяризации VPN" с 1 марта 2024 года - любое обсуждение способов обхода блокировок и VPN на портале запрещено!
Windows 11
Windows 10
Windows 8.1
Популярное
Опрос
Нравятся ли вам изменения произошедшие в Windows 10?
Всего ответов: 8509

Статистика Форума
Последние обновления тем
Популярные темы
Новые пользователи
11.12.2024|21:38
11.12.2024|11:39
11.12.2024|05:30
10.12.2024|15:33
10.12.2024|08:49
09.12.2024|17:43
08.12.2024|22:54
08.12.2024|20:23
08.12.2024|02:24
08.12.2024|01:19