Имя пользователя:
Пароль:
 | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » Уязвимости - Защита от Winlock - блокировка реестра

Ответить
Настройки темы
Уязвимости - Защита от Winlock - блокировка реестра

Новый участник


Сообщения: 12
Благодарности: 1

Профиль | Отправить PM | Цитировать


Доброго времени суток!

Прошу вашего мнения, уважаемые специалисты! Насколько эффективна будет блокировка веток реестра от записи (те установка разрешений только на чтение определенному пользователю непосредственно через через regedit) для защиты от так называемого Winlock.

Например, в последнее время мне попадается этот вирус, состоящий из исполняемого файла с одним и тем-же именем ms.exe (около 20 случаев) Хотя картинку они показывают разную.
Прописывется автозапуск в две ветки:
1: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
2: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run


В принципе можно установить разрешения только на чтение и на остальные ветки автозапуска. (вообще после установки всех программ пользователю особо ни к чему помещать много программ в автозагрузку) Установил программу- запускай с ярлыка!

Насколько эффективны данные меры? Могут ли вирусы обходить разрешения на конкретного пользователя, например запись от имени SYSTEM?. Или вирусы умеют изменять права доступа? На одном форуме прочитал, что ни в коем случае нельзя запрещать доступ системе (имя SYSTEM)- иначе получим BSOD. На сохраненных мной винлокерах потренировался - запись в реестр уже не могут сделать.

Пробовал запрещать доступ как администратору, так и простому пользователю (только не всей группе Администраторы- для подстраховки могу создать еще одного админа с целью отмены запретов) Все отлично работает.

А например, для автоматизации сей работы можно написать батничек, например на основе программки subinacl, и менять разрешения одним кликом!
Вопрос насчет этой самой subinacl: чтобы отменить запрет нужно запускать только от имени рарешенного пользователя? (по-другому как то нелогично получается - если можно снимать запрет от запрещенного пользователя.....)


Да, есть такая фишка у антивируса- проактивная защита (у NOD32 и касперского) и настроить можно, чтоб автоматом блокировались изменения в автозапуске, но вопрос в в блокировке реестра кажется проще и надежнее! Взяли да удалили антивирус или переустановили (да мало ли что может случиться!) вирус уже не запишется.

Отправлено: 23:13, 08-08-2012

 

Новый участник


Сообщения: 7
Благодарности: 1

Профиль | Отправить PM | Цитировать


Цитата iskander-k:
А удалить ключ или удалить параметр - это две большие разницы.! »
Согласен, оговорился, НО... Тот кто будет лазить в реестре, обязательно разбирается, и несет ответственность перед СОБОЙ, в том что он делает, какие параметры удаляет и для чего !

Цитата yurfed:
А вы знаете что ветки HKEY_CURRENT_USER, как и HKEY_CLASSES_ROOT не существует физически. Это виртуальные ветки и хранятся в памяти, после загрузки системы. Что вы там собрались менять, не совсем понятно. »
Как это не существует ? Еще как существует. Эта ветвь - файл NTUSER.DAT (лежит в папке c:\Documents and Settings\*****\NTUSER.DAT). В то время, когда определенный пользователь начинает загружаться в системе, данная ветвь подгружается в реестр. Если пользователь делает какие-нибудь изменения, типа смены обоев на рабочем столе, то они записываются конкретно в эту ветвь реестра и сохраняются в файл Ntuser.dat. В именно этот файл и в путь загрузки Shell конкретного пользователя прописывается данный winlock.

Последний раз редактировалось Диман_Д, 17-09-2012 в 20:40.


Отправлено: 20:18, 17-09-2012 | #21



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для yurfed

Ветеран


Сообщения: 20133
Благодарности: 3145

Профиль | Отправить PM | Цитировать


Цитата Диман_Д:
Эта ветвь - файл NTUSER.DAT »
Весь реестр лежит в \WINDOWS\system32\config
Всё остальное - пользовательские настройки.

-------
Хочу ли я - Могу ли я - Говно ли я - Магнолия


Отправлено: 21:49, 17-09-2012 | #22


Аватара для iskander-k

скептик-оптимист


Moderator


Сообщения: 5720
Благодарности: 1117

Профиль | Отправить PM | Цитировать


Цитата Диман_Д:
Тот кто будет лазить в реестре, обязательно разбирается, »
Тот кто будет лазить в реестре не обязательно будет разбираться в реестре.
А тот кто разбирается в реестре совершенно не читает и не использует все возможные советы аналогичные совету в данной теме и в темах по всему интернету.

-------
Мягкий и пушистый - если не гладить против шерсти.




Вам помог совет? Нажмите на ссылку Полезное сообщение .


Отправлено: 22:06, 17-09-2012 | #23


Новый участник


Сообщения: 7
Благодарности: 1

Профиль | Отправить PM | Цитировать


Цитата iskander-k:
А тот кто разбирается в реестре совершенно не читает и не использует все возможные советы аналогичные совету в данной теме и в темах по всему интернету. »
)))

Отправлено: 22:28, 17-09-2012 | #24


Аватара для O L E G

Старожил


Сообщения: 284
Благодарности: 16

Профиль | Отправить PM | Цитировать


С помощью моей системы нет невозможного, защита на уровне драйвера, любого файла и ветки

-------
Сложность программы растет до тех пор, пока не превысит способности программиста.


Отправлено: 10:10, 12-10-2012 | #25



Компьютерный форум OSzone.net » Информационная безопасность » Защита компьютерных систем » Уязвимости - Защита от Winlock - блокировка реестра

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
WinLock 6.01 OSZone Software Новости программного обеспечения 0 04-08-2012 22:30
C/C++ - [решено] защита ключа реестра от изменений путем WinApi O L E G Программирование и базы данных 0 03-06-2012 16:36
Вопрос - Защита от вирусов - запрет на запись в ветку реестра Winlogon. mspuz Защита компьютерных систем 4 27-10-2011 03:30
[решено] WinLock блокировка входа в Windows Fomarkin Лечение систем от вредоносных программ 5 15-02-2010 21:00




 
Переход