Показано с 1 по 6 из 6.

Запуск AntiSpyware под аккаунтом SYSTEM

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для HATTIFNATTOR
    Регистрация
    14.11.2004
    Адрес
    Russia
    Сообщений
    1,391
    Вес репутации
    206

    Запуск AntiSpyware под аккаунтом SYSTEM

    Благодаря одной старой уловке, упомянутой в knowlegebase Microsoft еще для Windows NT4 можно сделать охоту на malware более эффективной, запустив Вашу любимую AntiSpyware программу под учетной записью SYSTEM. Аккаунты SYSTEM и Администратора имеют одинаковые привилегии но различные функции, аккаунт SYSTEM используется самой операционной системой и сервисами, запущенными под Windows. Это внутренний аккаунт, он не виден в User Manager, не может быть добавлен ни к каким группам и ему не могут быть назначены права пользователя. (С другой стороны учетная запись SYSTEM обнаруживается на диске NTFS в менеджере файлов в разделе "Разрешения для.." вкладки "Безопасность", по умолчанию ему предоставлен полный доступ ко всем файлам на диске NTFS. Здесь SYSTEM имеет те же самые функциональные привилегии как и аккаунт Администратора). Такой прием в некоторых случаях может обнаружить и удалить malware которые иначе не были бы замечены, или помочь в борьбе с вредоносными программами умеющими изменять пользовательские привилегии.

    Чтобы запустить программу под аккаунтом SYSTEM запустите командную строку ("Пуск" -> "Выполнить" -> CMD <Ввод> ). В открывшейся командной строке наберите "at ХХ:ХХ /interactive cmd.exe <Ввод>" (где ХХ:ХХ - текущее системное время+2минуты, также должна работать служба "Планировщик"(Task Scheduler)). Если все введено правильно появится подтверждение "Добавлена новая задача с кодом 1" и через 2 минуты откроется новое окно командной строки от имени %windir%\system32\svchost.exe. Теперь Вы залогинены под аккаунтом SYSTEM.
    Кликните правой кнопкой на ярлыке программы, которую Вы хотите запустить и в открывшемся меню левой кнопкой на "Свойства". Скопируйте поле "Объект" вкладки "Ярлык", содержащее полный путь к исполняемой программе, затем кликните правой кнопкой в открытом svchost.exe окне командной строки и в открывшемся меню левой кнопкой нажмите "Вставить". Нажмите "Ввод". Ваша программа запущена с учетной записью SYSTEM.

    P.S. Explorer при этом продолжает работать под аккаунтом текущего пользователя.

    Ссылки по теме

    http://support.microsoft.com/kb/120929
    http://support.microsoft.com/kb/q132679

    Взято с форума castlecops.com

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Jolly Rojer
    Регистрация
    15.12.2004
    Адрес
    Россия,Новосибирск
    Сообщений
    990
    Вес репутации
    277

    Thumbs up

    Цитата Сообщение от HATTIFNATTOR
    Благодаря одной старой уловке, упомянутой в knowlegebase Microsoft еще для Windows NT4 можно сделать охоту на malware более эффективной, запустив Вашу любимую AntiSpyware программу под учетной записью SYSTEM. Аккаунты SYSTEM и Администратора имеют одинаковые привилегии но различные функции, аккаунт SYSTEM используется самой операционной системой и сервисами, запущенными под Windows. Это внутренний аккаунт, он не виден в User Manager, не может быть добавлен ни к каким группам и ему не могут быть назначены права пользователя. (С другой стороны учетная запись SYSTEM обнаруживается на диске NTFS в менеджере файлов в разделе "Разрешения для.." вкладки "Безопасность", по умолчанию ему предоставлен полный доступ ко всем файлам на диске NTFS. Здесь SYSTEM имеет те же самые функциональные привилегии как и аккаунт Администратора). Такой прием в некоторых случаях может обнаружить и удалить malware которые иначе не были бы замечены, или помочь в борьбе с вредоносными программами умеющими изменять пользовательские привилегии.

    Чтобы запустить программу под аккаунтом SYSTEM запустите командную строку ("Пуск" -> "Выполнить" -> CMD <Ввод> ). В открывшейся командной строке наберите "at ХХ:ХХ /interactive cmd.exe <Ввод>" (где ХХ:ХХ - текущее системное время+2минуты, также должна работать служба "Планировщик"(Task Scheduler)). Если все введено правильно появится подтверждение "Добавлена новая задача с кодом 1" и через 2 минуты откроется новое окно командной строки от имени %windir%\system32\svchost.exe. Теперь Вы залогинены под аккаунтом SYSTEM.
    Кликните правой кнопкой на ярлыке программы, которую Вы хотите запустить и в открывшемся меню левой кнопкой на "Свойства". Скопируйте поле "Объект" вкладки "Ярлык", содержащее полный путь к исполняемой программе, затем кликните правой кнопкой в открытом svchost.exe окне командной строки и в открывшемся меню левой кнопкой нажмите "Вставить". Нажмите "Ввод". Ваша программа запущена с учетной записью SYSTEM.

    P.S. Explorer при этом продолжает работать под аккаунтом текущего пользователя.

    Ссылки по теме

    http://support.microsoft.com/kb/120929
    http://support.microsoft.com/kb/q132679

    Взято с форума castlecops.com
    Хорошая и нужная статья!!!!

  4. #3
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    291
    Ну, если коротко, то не все так просто...

    Во-первых, это, конечно, не "уловка", а достаточно широко известная с давних времен и довольно часто используемая возможность, изначально задуманная Microsoft именно в таком виде!

    Во-вторых, для вызова команды at пользователь должен быть членом локальной группы администраторов (не говоря уже о сервисе Планировщика, который, по-хорошему, д.б. выключен, если вы не пользуетесь командой at)! Т.е., по сути дела, вы уже изначально должны иметь достаточно высокие привилегии на своем компьютере - тогда зачем вам еще и SYSTEM для запуска антиспая?

    В-третьих, никто не отменял команду runas, которая, на мой взгляд, предоставляет более интересную возможность: работая большую часть времени под обычным пользователем, запускать некоторые программы от имени другого пользователя, к примеру, администратора (зная его пароль, естественно!).

    В-четвертых, системная учетная запись имеет некоторые ограничения, например при работе с сетевыми ресурсами.

    Но... на самом деле есть случаи, когда работа под системной учетной записью дает некоторые преимущества, но я не хочу распространяться на эту тему, ибо кто захочет, тот сам поищет и найдет...

  5. #4
    External Specialist Репутация Репутация Репутация Репутация
    Регистрация
    12.12.2004
    Сообщений
    818
    Вес репутации
    52
    RunAs разве поддерживается в НТ4 ? А на ней я именно таким способом восстанавливал учетные записи юзеров при некоторых глюках с винлогоном.

  6. #5
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для aintrust
    Регистрация
    17.05.2005
    Сообщений
    1,141
    Вес репутации
    291
    Цитата Сообщение от Xen
    RunAs разве поддерживается в НТ4 ?
    ...
    НТ4 - имеется ввиду Windows NT 4.0? Насколько мне помнится - нет, а что, это еще актуально?

  7. #6
    External Specialist Репутация Репутация Репутация Репутация
    Регистрация
    12.12.2004
    Сообщений
    818
    Вес репутации
    52
    В-третьих, никто не отменял команду runas...
    Я вот к этому. Для меня энтеха остается актуальной и поныне, увы =)

Похожие темы

  1. Ответов: 5
    Последнее сообщение: 22.12.2009, 00:20
  2. Ответов: 0
    Последнее сообщение: 13.10.2009, 18:22
  3. Antispyware 2008
    От akvv в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 22.02.2009, 06:40
  4. antispyware
    От qwertz4 в разделе Помогите!
    Ответов: 9
    Последнее сообщение: 22.10.2008, 20:48
  5. Ответов: 8
    Последнее сообщение: 10.05.2008, 20:35

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00715 seconds with 21 queries