Как-то раз попалась мне тема, что ищется способ "убийства" (т.е. удаления с машины) авера. При этом человек писал, что есть полные (админские) права, но прога не удаляется. Ради интереса, скачал авер софос (это есть у многих, софос для примера) - действительно, после установки ничего не удаляется, что не делай, и что не запускай. Даже windows SRP не блокирует его.

Вопрос - почему так? Я понимаю, что последние годы идет тенденция к "защите от админа". Но как это вообще возможно? У аверов есть какие-то особые права, данные Майкрософтом (невыгружаемый драйвер, неубиваемый процесс), или же , такое теоретически может сделать любой шароварник, имеющий драйвер ? Где можно узнать технические детали работы такого софта? Мб кто реверсил, ибо у меня знаний по дровам / безопасности почти нет.

Реймонд Чен писал, что Windows решила оставить пользователям контроль над своими программами и данными, а администраторам - над их машинами. Поэтому пользователь может убить любой процесс, какой он захочет (если у него хватает на это прав), он может остановить любую программу, которая тырит фокус, и он может удалить любой файл, какой только захочет (опять-таки, если у него есть на это права). (--> отсюда <--, перевод.). Жаль, что эта политика изменилась.

| Сообщение посчитали полезным:

morgot
Я, кажется, уже писал - "Внутреннее устройство Windows", по этой теме лучше ничего не написано (да там вообще есть почти всё, что даёт общее представление об архитектуре).

Да я бы не сказал, что именно для сисадминов. Можно это сделать вручную в 99% случаев только средствами ОС. Если файл не блокирован никакими процессами, если пользователь является его владельцем, права меняются. Даже через вкладку "Безопасность")).

Не хватает конкретики в вашем вопросе, если откровенно. Был бы конкретный пример - легче было бы ответить. Вот есть такой-то файл, у него такой-то список управления доступом, такой-то владелец, его открыли (не открыли) такие-то процессы.

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

Crawler пишет:
Не хватает конкретики в вашем вопросе, если откровенно.
Мне нужно изучить немного матчасти, по поводу вот безопасности файлов.
Правой кнопкой жму на файл, вроде как для админа (т.е. меня) стоит полный доступ (чтение, запись, удаление). На практике, если удалять, пишет что-то вида "отсутствуют разрешения от пользователя система". При попытке убрать права у "система", пишет что они откуда-то там унаследованы. Я не работал с этим всем никогда (как юзер даже), реально - максимум расшаривал файлы и папки. Поэтому, пока не могу дать конкретики, чуть позже.

Пока могу только сказать, что если native api приложение не удаляет файл, возвращает ACCESS_DENIED.

Добавлено спустя 6 часов 24 минуты
Crawler
вот допустим. При запущенной системе пробую поменять права на какой-то текстовый файл с описанием лицензии (не exe, т.е. чтобы исключить фактор что файл запущен и прочее)
--> картинка<--
через тег img растягивает страницу

| Сообщение посчитали полезным:

morgot

Я рекомендую сделать следующее:
1) Убедиться, что никакие процессы не блокируют файл. Можно попробовать воспользоваться утилитой Unlocker;
2) При помощи Process Hacker-а с плагином (забыл, как называется, но можно загуглить Process hacker run as system plugin) запустить консоль от имени системы.
3) Попробовать из этой консоли назначить в качестве владельца файла пользователя, под которым вы обычно работаете - для этого используется команда "takeown".
4) Дальше уже можно будет разрешать себе удаление файла через вкладку "Безопасность" винды или через команду "icacls", а потом удалять файл.

Если не поможет - пишите))

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

Crawler
1. Блокируют. Унлокер показывает множество процессов этого самого авера. Разблокировать не может.
2. Ни PH, ни Psexec авер не дает запустить. Запустил cmd от системы чуть иначе. takeown /f дает ошибку. Причем, я взял файл, который процессом не занят, т.е. текстовый .

| Сообщение посчитали полезным:

morgot пишет:
У аверов есть какие-то особые права, данные Майкрософтом
Нет. В windows 10 очевидная тенденция вставлять палки в колеса конкурентам и продвигать "самый лучший" Windows Defender™.
morgot пишет:
Где можно узнать технические детали работы такого софта?
Обычно все получают реверсингом и курением msdn - отсюда и типичная реализация. БиллГейтсСофт не выделяет каких-то особенных фукнций для антивирусов.
morgot пишет:
Как-то раз попалась мне тема, что ищется способ "убийства" (т.е. удаления с машины) авера
Нормальные антивирусы корректно удаляются с системы. Проблема в том, что Вы просто не видели Вьетнамские или Китайские антивирусы или какой нибудь новый самопал на коленке. Вот это настоящие "шедевры".

Алсо:
1. Сейчас эпоха майнеров и шифровальщиков. Эти впо не фокусируются на удалении антивирусов.
2. DLP ведут себя как руткиты и любыми путями скрывают своё присутствие в системе - папки физически не видны. А Вы говорите антивирусы.

| Сообщение посчитали полезным: morgot

morgot
По поводу takeown - может, вы маленькую букву "f" в ключе прописали? Надо "takeown /F".

В таком случае, я вижу только один приемлемый вариант - с LiveCD: поправить права доступа и владельца, поубивать всё, что грузит антивирус (фильтры файловой системы, другие дрова, службы и т.д.), и запуститься.

ELF_7719116
Даа, дефендер - то ещё дерьмецо, редкостное. Ни черта не детектит, при этом фиг отключишь без геморроя)

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным: morgot

Пацаны открыли для себя минифильтры, политики безопасности венды, ACL и современный харденинг Конечно это плохой микрософт подыгрывает аверам ведь именно для них с висты добавлено много этих всяких вкусных штучек. Автор ну что за бред, возьми этот софос (что за софос, что за версия, где какая архитектура системы - это придумывать самому да), поставь его на вм, установи виндбг - выяснить что это гавно юзает не составит проблем и займет меньше времени чем эта тема полная бреда.

| Сообщение посчитали полезным: Crawler, morgot

ELF_7719116 пишет:
Проблема в том, что Вы просто не видели Вьетнамские или Китайские антивирусы или какой нибудь новый самопал на коленке. Вот это настоящие "шедевры".
Не видел, да и кроме AhnLab ничего оттуда не помню. На последний почему-то локерщики жалуются.
ELF_7719116 пишет:
2. DLP ведут себя как руткиты и любыми путями скрывают своё присутствие в системе - папки физически не видны. А Вы говорите антивирусы.
Ну вот , меня пугает сама тенденция, а не конкретный софт; что если сегодня авер, а завтра вот браузер хром возьмет и локнет все (а чтобы удалить его, нужно будет знать пароль от обязательного гугл акка..).

Crawler пишет:
Надо "takeown /F".
Делал, не помогло. Через liveCD удаляет, но мне интересна сама технология, не результат.
Crawler пишет:
Даа, дефендер - то ещё дерьмецо, редкостное. Ни черта не детектит, при этом фиг отключишь без геморроя)
Можно по разному относится к дефендеру, но какой-то % малвари он ловит. Юзерам нужен АВ продукт, иначе комп очень быстро превращается в ботнет. А так, дефендер, да еще обновления с удалением малвари - и не все так плохо.
Отключение - возможно, так сделали чтобы малварь не могла отключить, как виндовс фаервол (который отключался вроде 1 параметром в реестре).

Alchemistry пишет:
поставь его на вм, установи виндбг - выяснить что это гавно юзает не составит проблем
У меня пока не хватает знаний, я имею весьма смутные представления об ACL и ядре. Но, главное я понял, что никаких особенных технологий нет, все документировано, в принципе. Постепенно, думаю, разберусь.

| Сообщение посчитали полезным: