 |
eXeL@B —› Основной форум —› Удаление из HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets |
| . 1 . 2 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 11 июня 2007 22:11 · Личное сообщение · #1 Борюсь с хитрым триалом, где программка пишет в HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets Как всем известно стандартным регедитом в SECURITY вообще ничего не отображается, нашёл Registrar Registry Manager Lite, он отображает но удалять не даёт. Чем лучше смотреть и главное удалять ? Кто-нибудь сталкивался с этим ? Так же на втором этапе мне придётся удалять оттуда программно. Чувствую, что с этим тоже будет не просто. Посоветуйте пожалуйста что-нибудь.  |
|
|
Создано: 11 июня 2007 22:19 · Поправил: rmn · Личное сообщение · #2 Если поставить себе разрешения на чтение этого ключа, то его можно экспортировать (regedit не отображает его содержимое в дереве, но в файл сохраняет). Попробуй удалить через reg-файл [+] после изменения прав и перезапуска regedit, содержимое ключа стало отображаться... |
|
|
Создано: 11 июня 2007 22:24 · Поправил: mysterio · Личное сообщение · #3 ToBad Поставь разрешения для себя (пользователь) а так же для системы на запись/чтение/удаление, а точнее это все называется полный доступ и особые разрешения. ----- Don_t hate the cracker - hate the code. |
|
|
Создано: 11 июня 2007 22:25 · Личное сообщение · #4 rmn пишет: Попробуй удалить через reg-файл А как удалить ветку XXXX целиком из HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\ через reg-файл ? |
|
|
Создано: 11 июня 2007 22:26 · Поправил: rmn · Личное сообщение · #5 [-HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\XXXX] |
|
|
Создано: 11 июня 2007 22:30 · Личное сообщение · #6 На этом ключе нажми правую кнопку мыша->разрешения и поставь все галки напротив разрешить, тогда и видно будет и далять можно будет. |
|
|
Создано: 11 июня 2007 22:33 · Поправил: ToBad · Личное сообщение · #7 rmn пишет: после изменения прав Не нахожу где менять права... |
|
|
Создано: 11 июня 2007 22:35 · Личное сообщение · #8 Ага, нашёл... |
|
|
Создано: 11 июня 2007 22:36 · Личное сообщение · #9 ToBad пишет: Не нахожу где менять права... Еще можно через меню. Правка>Разрешения... ----- radio uno in ibisa ... |
|
|
Создано: 11 июня 2007 22:55 · Личное сообщение · #10 а как насчет смены прав через командную строку? чтобы сразу bat-ник организовать. |
|
|
Создано: 11 июня 2007 22:59 · Поправил: Halt · Личное сообщение · #11 ммм а как сама прога туда пишет??... или на нее пакер повешан сверху ? http://support.microsoft.com/kb/245031/ http://support.microsoft.com/kb/245031/ правда NT 4.0 м.б SetSecurityDescriptorSacl |
|
|
Создано: 11 июня 2007 23:02 · Личное сообщение · #12 r99 пишет: а как насчет смены прав через командную строку? чтобы сразу bat-ник организовать. Это было бы очень полезно. А как ? Дело в том, что поставив разрешения думаю смогу теперь удалять ветку из программы, но интересно узнать, как ставить это разрешение программно. Ведь софтинка как то туда пишет и удаляет... |
|
|
Создано: 11 июня 2007 23:05 · Поправил: ToBad · Личное сообщение · #13 Halt пишет: ммм а как сама прога туда пишет??... или на нее пакер повешан сверху ? Повешен, но это не его фишка. |
|
|
Создано: 11 июня 2007 23:13 · Личное сообщение · #14 ToBad пишет: интересно узнать, как ставить это разрешение программно. Во-во и мне тоже. Еще как подобное делать для файлов. Ведь принцип тот же должен быть. ----- radio uno in ibisa ... |
|
|
Создано: 12 июня 2007 00:35 · Поправил: Cigan · Личное сообщение · #15 Устанавливаем на ветку разрешения для администратора тип доступа полный, после этого отрываем командную строку и пишем вот такую строчку reg query HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets и видем все что там есть. Чтобы удалить чтото reg delete HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets\XXX будет удален из раздела Secrets Подраздел XXX |
|
|
Создано: 12 июня 2007 09:33 · Личное сообщение · #16 Cigan пишет: Устанавливаем на ветку разрешения для администратора тип доступа полный как сделать это программно? ----- radio uno in ibisa ... |
|
|
Создано: 12 июня 2007 11:11 · Личное сообщение · #17 Halt пишет: support.microsoft.com/kb/245031/ Это работает, но правильно пишут, что всё остальное будет сброшено. Я открывал доступ на чтение, запись и удаление всем кому только можно к нужной мне ветке, но новые права применилсь ко всему реестру и вместо привычных "Администратор" и "SYSTEM" в правах увидел типа S-1-4-6-4-2..... (штуки 3), ну и как все уже догадались следующий ребут стал для этой винды последним... Так что осторожней. Тема о безопасной программной смене прав доступа к одной ветке реестра остаётся открытой. |
|
|
Создано: 12 июня 2007 11:22 · Личное сообщение · #18 ToBad я правильно понял, что даже при запрещенном доступе, программа каким-то образом всё равно пишет в раздел. Попробуй удалить ветку программы, запретить доступ к Secrets и запустить программу. Запишет? Может тогда ее следует в отладчике подробнее исследовать. А то в инете ничего нету на тему программного изменения прав. Скорее всего она их не изменяет, а каким-то образом обходит.. ----- radio uno in ibisa ... |
|
|
Создано: 12 июня 2007 11:49 · Личное сообщение · #19 я бы сделал инжект в системный процесс и оттуда удалил.... ----- Shalom ebanats! |
|
|
Создано: 12 июня 2007 11:50 · Личное сообщение · #20 Icelot ну возможно она его открывает, а потом закрывает снова. А может работает в правами системы ? Доступ к Secrets запрещён по умолчанию, а после удаления ветки и переустановки программы запись в этом месте больше не создаётся... Странно вообще... Но буду пробовать ещё... |
|
|
Создано: 12 июня 2007 11:55 · Личное сообщение · #21 SLV пишет: я бы сделал инжект в системный процесс и оттуда удалил.... Да, это вариант... Но не исключено, что можно всё сделать на чистом API и гораздо проще. Найти бы такие исходники. На инжект могут завопить в последствии фаерволы и антивирусы... Кстати, как я уже говорил Registrar Registry Manager видит ветку и всё в ней. |
|
|
Создано: 12 июня 2007 12:00 · Личное сообщение · #22 ToBad пишет: не исключено, что можно всё сделать на чистом API во-во.. ToBad пишет: На инжект могут завопить в последствии фаерволы и антивирусы сомневаюсь, что кто-то в защите стал бы организовывть инжекты с системным процессам. ToBad выложишь exe? можно распакованный 
----- radio uno in ibisa ... |
|
|
Создано: 12 июня 2007 12:21 · Поправил: ToBad · Личное сообщение · #23 Вот нашёл интересный пример запуска от SYSTEM: Включай службу планировщика задач net start schedule потом пиши at "время, без кавычек" cmd.exe /interactive. Теперь через cmd запускай, любой процесс будет с правами System, особенно удобно шарить в реестре.
Вместо cmd можно вставлять свою прогу которая будет удалять нужную ветку, проблема лишь в том, что запущенная прога не видна. В задачах висит, а графического интерфейса нет... Может я что то не так делаю ? |
|
|
Создано: 12 июня 2007 12:36 · Личное сообщение · #24 Да, работает вот так: (пример) at 12:00:00 /interactive regedit.exe
Регедит запускается с правами SYSTEM, интерфейс видим, HKEY_LOCAL_MACHINE\SECURITY - открыто. Не API конечно, но думаю теперь всё будет работать... |
|
|
Создано: 12 июня 2007 12:43 · Личное сообщение · #25 ToBad не в любой операционке опять же и только при определённых настройках безопасности.. у меня в виста выдала, что в связи с повышенной безопасностью это задание интерактивно не будет выполняться, а только в указанное время.. бла бла бла ----- radio uno in ibisa ... |
|
|
Создано: 16 июня 2007 14:24 · Личное сообщение · #26 скачай SysInternals PSTools там есть psexec.exe - он может запустить программу от имени пользователя систем. И в висте тоже - правда надо права админа. Прикольно делать вот так - снимаешь в Task Manager задачу explorer.exe и в файл - новая задача пишешь psexec.exe -i -s explorer.exe. И ты в системе под учётной записью System (точнее LocalSystem). |
|
|
Создано: 16 июня 2007 14:58 · Личное сообщение · #27 А еще можно написать простенький драйвер 
|
|
|
Создано: 16 июня 2007 15:02 · Личное сообщение · #28 С psexec такой драйвер идёт в нагрузку.
|
|
|
Создано: 16 июня 2007 15:49 · Личное сообщение · #29 Compiller пишет: С psexec такой драйвер идёт в нагрузку. Да нет, я имею ввиду написать свой драйвер, который будет без особых усилий удалять нужные ветки. Так способом можно хоть весь реестр удалить
|
|
|
Создано: 16 июня 2007 16:03 · Личное сообщение · #30 |
| . 1 . 2 . >> |
|
eXeL@B —› Основной форум —› Удаление из HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets |
Для печати