Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
"Запуск от имени администратора" и вирус.
 
Повседневно я работаю в обычной учетной записи (член группы Пользователи). Мне надо установить программу от имени администратора. Допустим, вирус заразил мою неадминистраторскую учетную запись и ждёт пока я запущу в чтонибудь от имени администратора чтобы узнать пароль адмнистратора и завладеть системой. Получается, что для того чтобы вирус обломался с паролем администратора, мне невкоем разе нельзя светить в зараженном сеансе пароль администратора. Я незапускаю какое попало ПО, работает по жесткой схеме SRP, но вирус мог пробраться через документ Word, например.

Получается, для того чтобы всё было максимально красиво и безопасно, надо ОБЯЗАТЕЛЬНО перелогиниваться, а не запускать от имени администратора?
Изменено: WindowsXP - 29.04.2010 16:08:49
 
Цитата
WindowsXP пишет:
Повседневно я работаю в обычной учетной записи (член группы Пользователи). Мне надо установить программу от имени администратора. Вирус заразил мою неадминистраторскую учетную запись и ждёт пока я запущу в чтонибудь от имени администратора чтобы узнать пароль адмнистратора и завладеть системой. Получается, что для того чтобы вирус обломался с паролем администратора, мне невкоем разе нельзя светить в зараженном сеансе пароль администратора. Я незапускаю какое попало ПО, работает по жесткой схеме SRP, но вирус мог пробраться через документ Word, например.

Получается, для того чтобы всё было максимально красиво и безопасно, надо ОБЯЗАТЕЛЬНО перелогиниваться, а не запускать от имени администратора?

не мучайся, переставь систему
 
Это условия задачи, решение которой я ищу. Меня не лечение интересует, а механизм противодействия.
Изменено: WindowsXP - 29.04.2010 16:12:23
 
а как насчет антивиря? он перехватит твой вирус либо еще на этапе открытия файла, либо при появлении вируса в памяти, либо эвристикой при анализе поведения.
если конечно антивирь правильный (например типа Комода) и своевременно обновляемый.
 
Ты один из тех кто наивно считает, что антивирус (любой) это надежная защита от вирусов. Без разницы какой, правильный, неправильный, красный или зеленый.

Всем, кто повседневно работает в системе в режиме администратора, можно дальше не читать. Итак. Если некоторый хитрый вирус способен выловить пароль в то время когда я запускаю что либо из под ограниченной учетной записи (член группы Пользователи) с помощью "Запустить от имени администратора", тогда делать очень опасно, так как есть реальный риск заразить всю систему, а нетолько свой пользовательский профиль. Тогда получается, что для запуска чего либо с правами администратора есть только один безопасный путь и это - перелогон. Как вы полагаете?
 
думаю если закрыть доступ на запись в
HKEY_CLASSES_ROOT\exefile\shell\runas
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\runas
то это от многого спасёт и не потребуется делать перелогон.
 
Цитата
WindowsXP пишет:
Если некоторый хитрый вирус способен выловить пароль в то время когда я запускаю что либо из под ограниченной учетной записи (член группы Пользователи) с помощью "Запустить от имени администратора", тогда делать очень опасно, так как есть реальный риск заразить всю систему, а нетолько свой пользовательский профиль. Тогда получается, что для запуска чего либо с правами администратора есть только один безопасный путь и это - перелогон. Как вы полагаете?
а разве запуск от имени администратора в винде требует пароля? он же его не требует и при запуске задачи от админа запускается именно эта задача, т.е. зловред может залезть если он пролез в запускаемый тобой экзешник, либо если он работает в системе и может на лету прилипать к исполняющимся файлам, в этом случае спасет только перелогин, так как его нужно выгрузить из исполняющихся процессов - либо убить его процесс, что мало вероятно из под ограниченной учетки. А пароль админа зловреды пытаются брутить
 
2 SAMBO: runas /noprofile /user:mymachine\administrator cmd  запросит у тебя пароль пользователя "administrator".
2 WindowsXP: сомневаюсь что вирусяка будет пытаться подбирать пароли из того текста который ты вводишь с клавы.
 
[mad]Mega
Думаешь вирусописатели небудут так заморачиваться?
 
Ты от чего уберечься то хочешь…??? От полного заражения системы… или просто думаешь, что кто то охотится за твоим админским паролем???  Вирусов огромное множество и следовательно может быть множество  вариантов продолжения события. Еще есть зависимость от того под какой версией окон ты работаешь… По хорошему Если есть подозрения что в системе зараза, то просто проверь комп несколькими бесплатными утилитами разных антивирных контор…
 
Цитата
Думаешь вирусописатели небудут так заморачиваться?

вы либо не представляете до конца о чем говорите, либо помешанны на безопасности. впервом случае рекомендую книжку "Записки исследователя компьютерных вирусов", во втором могу только предложирть сменить ось на никс  :)
 
2WindowsXP:
Цитата
Думаешь вирусописатели небудут так заморачиваться?
предполагаю что:
1. большинство пользователей (на которое и расчитаны вири) проводят свое время в на форумах и сайтах аля вконтакте. В следствии чего за день сей пользователь набивает тучу слов, среди которых с очень малой вероятность встретится пароль. (не выгодно)
2. необязательно пользователь заразившейся вирём сидит под админкой (в следствии чего его пароль нам не нужен). А если и сидит под админкой, то ему ничто не мешает выполнить команду "net user /add SUPPORT_ds380941a2".
3. лишняя волокита с написанием отдельных утилит и тому подобное - мне бы было лениво.
Имхо: если ваши действия и имеют смысл, то мне кажется вы пытаетесь защититься от узкого круга вирусов.
З.Ы. нету полной панацеи от защиты компа от виря (не антивирь, ни *никс, не запрет на запуск файлов кроме как разрешённых) (с) КО
 
del
Изменено: programfiles - 27.01.2011 18:14:44
 
Цитата
предполагаю что:
1. большинство пользователей (на которое и расчитаны вири) проводят свое время в на форумах и сайтах аля вконтакте. В следствии чего за день сей пользователь набивает тучу слов, среди которых с очень малой вероятность встретится пароль. (не выгодно)
2. необязательно пользователь заразившейся вирём сидит под админкой (в следствии чего его пароль нам не нужен). А если и сидит под админкой, то ему ничто не мешает выполнить команду "net user /add SUPPORT_ds380941a2".
3. лишняя волокита с написанием отдельных утилит и тому подобное - мне бы было лениво.
Имхо: если ваши действия и имеют смысл, то мне кажется вы пытаетесь защититься от узкого круга вирусов.

Ну вообще такие вещи делаются очень просто, например с помощью хуков винапи, другой вопрос заключается в том как выявить подобные действия программы в оси, и какие ресурсы такая программа может использовать, отталкиваясь от данных знаний можно и вручную форсировать заражение и распространение банальными средствами, не говоря уже о том что большая часть как платных так и ждипиельных антивирусных средств сделает это за вас (если конечно не найдется грамотный специалист у конкурентов вашей организации)
Изменено: FEINT - 13.05.2010 01:00:41
 
Цитата
[mad]Mega пишет:
2. необязательно пользователь заразившейся вирём сидит под админкой (в следствии чего его пароль нам не нужен). А если и сидит под админкой, то ему ничто не мешает выполнить команду "net user /add SUPPORT_ds380941a2".
видимо имелась в виду
net user /add SUPPORT_388945a0
?
 
[mad]Mega,
Денис Батранков,
А для чего делается net user /add SUPPORT_********?
 
Отбой, погуглил.
 
Тему можно закрыть, вопрос исчерпан.
 
Цитата
FEINT пишет:
Ну вообще такие вещи делаются очень просто, например с помощью хуков винапи, другой вопрос заключается в том как выявить подобные действия программы в оси, и какие ресурсы такая программа может использовать, отталкиваясь от данных знаний можно и вручную форсировать заражение и распространение банальными средствами, не говоря уже о том что большая часть как платных так и ждипиельных антивирусных средств сделает это за вас (если конечно не найдется грамотный специалист у конкурентов вашей организации)

Чтоб выявить такие действия в оси нужна проактивная защита. Знаю что в аутпосте есть такая штука.
А халявных прог не нагружающих систему я незнаю,неподскажете?
Изменено: Yes - 21.07.2010 10:37:00
Страницы: 1
Читают тему (гостей: 1)