• Обратная связь: [email protected]

    Наш канал в telegram: https://t.me/ru_sfera

    Группа VK: https://vk.com/rusfera

    Пользователи могут писать на форуме ТОЛЬКО ЧЕРЕЗ 7 ДНЕЙ после регистрации

Как максимально обезопасить себя в Интернете


модемщик

Уважаемый пользователь
Форумчанин
Регистрация
10.05.2013
Сообщения
36
Репутация
140
При обычном серфинге зачастую помогает тривиальный UserAccountControl. Выглядит это так, файл с телом вируса с зараженного ресурса укладывается в %temp%, причем для этой операции повышения не требуется. Только вот дальше необходимо запустить вирус скриптом, либо скопировать его в автозагрузку, а вот здесь без повышения не обойтись. И спонтанное появление окошка UAC с предложением повысить привилегии процесса сразу говорит о том, что на комп пытается заломиться какая-то пакость.
Дальнейшее удаление тела вируса не предоставляет никакого труда.
Отрицательный момент - если вы сами устанавливаете какую либо софтину с вшитым вредоносным кодом, то UAC вам никак не поможет, т.к. вы сами собственноручно откроете вирусу полный доступ к ОС.
Из плюсов - независимость от наличия/отсутствия сигнатур в базе антивируса, и ,в принципе, при наличии головы UAC защитит вас от большинства угроз.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 202
Репутация
8 335
при наличии головы UAC защитит вас от большинства угроз.
У этой штуки куча уязвимостей, я ещё не говорю, что её можно отключить программно минуя пользователя...

К тому-же вирусы могут загружаться и в кеш браузера и для запуска и внедрения использовать процессы браузера и уязвимости в браузере и системе, не очень-бы я полагался на UAC...
 

модемщик

Уважаемый пользователь
Форумчанин
Регистрация
10.05.2013
Сообщения
36
Репутация
140
той штуки куча уязвимостей, я ещё не говорю, что её можно отключить программно минуя пользователя...

Как-то время назад я серьезно озадачился насчет запуска программы минуя UAC. UAC отключать было низя, а вот запустить программку из под пользовательских прав с повышением было нужно.
Была проштудирована куча документации, измучен ProcessMonitor и мной (системным администратором, не программистом) было выработано решение ведущее через планировщик задач, который хитрым способом, благодаря опции "выполнять с наивысшими привилегия" позволяет обходить UAC. Вот кстати статейки насчет механизма работы:

UAC

Резюме - UAC вещь капитальная и достаточно крепко сделанная, насчет кучи уязвимостей сильно не уверен. Например при включенном UAC администратор в реальности входит под пользовательским токеном, и только после повышения процесс получает полные администраторские права. Т.е. для того, чтобы UAC сломать придется хоть один раз запустить программу с повышением. Необходимые настройки можно внести через, если не ошибаюсь, 14 параметров в реестре.
Шутки ради попробуй изменить какой-нибудь файл в папке Windows тем же самым блокнотом под администратором. Со стороны файловой системы все права у тебя на эти действия будут, а вот записать без повышения ты ничего не сможешь, т.к. ты зашел в систему по факту под пользовательским токеном. А вот если ты запустить Notepad с повышением, то все сработает.

Плюс в нем есть такая фича - как виртуализация рабочего пространства программы. Про нее как раз во второй статейке. Даже если UAC не потребовал повышения, то не повышенные приложения будут отрабатываться полностью в виртуальном пространстве, оно будет иметь вид типа :
"C:\Users\User\AppData\Local\VirtualStore\Папка\Папка приложения"
И пространство очистится после закрытия приложения, никакие данные не будут сохранены.

ПС:
Собственно проблема из-за которой я заморачивался оказалась как раз с виртуальным пространством.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 202
Репутация
8 335
насчет кучи уязвимостей сильно не уверен.
Вот старенькая статья как обойти, на висьте и 7-ке работает:
Необходимые настройки можно внести через, если не ошибаюсь, 14 параметров в реестре.
На сколько я помню, для отключения достаточно этого:
Код:
REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
+перезагрузка
 

модемщик

Уважаемый пользователь
Форумчанин
Регистрация
10.05.2013
Сообщения
36
Репутация
140
Вот старенькая статья как обойти, на висьте и 7-ке работает:

На сколько я помню, для отключения достаточно этого:
Код:
REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
+перезагрузка

Дык, долбанный майкрософт, сплошное головотяпство. Работы ведь на 2 минуты. Там собственно косяк в одном, пользователи к ветке Policies\System имеют fullaccess. Я же говорил, что мы в реальности сидим под пользователем, вот и выходит, что повышение не требуется. Если же мы уберем с ветки наследования, скопировав права и удалим fullaccess для пользователей (который там вообще даром не нужен) , то данный эксплоит работать перестанет.
с HKCU\EUDC\[Language]\SystemDefaultEUDCFont действия те же.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 202
Репутация
8 335
Он уже не работает (На SP1 для Windows 7 + последнии обновления), статья-то двухлетней давности...

Зато фишка с реестром работает, правда надо запускать из под админа + перезагрузка...

Вот пример программного отключения/включения UAC:
Код:
- отключить UAC:
 
cmd.exe /c %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
 
Здесь можно делать произвольные действия минуя UAC !!!:)
 
- включить UAC:
 
cmd.exe /c %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 1 /f

Я вот только не помню нужна-ли перезагрузка при отключения/включения UAC !

Я где-то год назад подцепил вирус, через уязвимость Adobe Flash, зашёл на один сайт и через партнёрку подцепил, причём очень интересно, вначале комп перезагрузился, а потом каждый раз через минуту после загрузки выскакивало окошко с просьбой отправить СМС, окно разумеется никак не закрыть, в инете работать невозможно, т.к. было перенаправления на рекламные сайты, каждые пять минут !

В автозагрузке вируса не было, в сервисах системы тоже, я уже хотел систему переустанавливать, а потом заглянул в планировщик задач, вот от туда он и запускался !

Причём UAC, Eset и другое ПО для защиты молчали...
 

модемщик

Уважаемый пользователь
Форумчанин
Регистрация
10.05.2013
Сообщения
36
Репутация
140
Были проанализированы:
Trojan.PWS.Stealer.1932
Заблокирован UAC

Trojan.Winlock.6049
Троян отработал на полную

Win32.HLLW.Kati (Penetrator)
Заблокирован UAC

Trojan.Qhost.72
Заблокирован UAC

Worm.Siggen.6852
Заблокирован UAC

Trojan.Winlock.2959
Заблокирован UAC

Trojan.DownLoader9.10989
Без повышения привилегий UAC не запускается. В общем, если скачал хром не с гугла или oldapps, то сам дурак :)

Резюме:
Из 7 проанализированных вредоносных программ смогла отработать на 100% только одна - Trojan.Winlock.6049. К слову данный винлок удаляется настолько просто, что с этим справится даже пятиклассник.

В итоге эффективность UAC составила 85,71428571428571% т.е. весьма и весьма.

Вывод:
UAC на максимальном уровне маст хэв для любого, кто сидит под администратором.


ЗЫ: уязвимости использованные вирусами учтены и в скором времени от меня будет любительский мини патчик, который закрывает главные используемые вирусами уязвимости( в основном - это FullControl пользователям на ветки реестра, которые пользователям не нужны вообще.
 
B

best_musor

Гость
Еще очень хороший юз-кейс - отключать куки в браузере и добавлять в исключения только те, которыми действительно пользуетесь.
 
A

abrams

Гость
Думаю основная часть заражений происходит по схеме а-ля скачал "программу взома вконтакте" ==> запустил ==> проигнорировал предупреждение антивируса либо вообще его отключил. Итог печален, потом вопли на форумах. Ну а если уж качать кряки, патчи, кейгены, то только с проверенных ресурсов и под "протекцией" положительных отзывов имхо.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 202
Репутация
8 335
проигнорировал предупреждение антивируса либо вообще его отключил.
Оно так и есть как показали тесты на этом ресурсе, не так много вирусов, которые реально могут обойти антивирус (при актуальных базах и версиях) и тот-же UAC мало, кто может обойти, но пользователи сами отключают средства защиты, из-за соц. инженерии и т.д. !
 
Верх Низ