-
Запуск AntiSpyware под аккаунтом SYSTEM
Благодаря одной старой уловке, упомянутой в knowlegebase Microsoft еще для Windows NT4 можно сделать охоту на malware более эффективной, запустив Вашу любимую AntiSpyware программу под учетной записью SYSTEM. Аккаунты SYSTEM и Администратора имеют одинаковые привилегии но различные функции, аккаунт SYSTEM используется самой операционной системой и сервисами, запущенными под Windows. Это внутренний аккаунт, он не виден в User Manager, не может быть добавлен ни к каким группам и ему не могут быть назначены права пользователя. (С другой стороны учетная запись SYSTEM обнаруживается на диске NTFS в менеджере файлов в разделе "Разрешения для.." вкладки "Безопасность", по умолчанию ему предоставлен полный доступ ко всем файлам на диске NTFS. Здесь SYSTEM имеет те же самые функциональные привилегии как и аккаунт Администратора). Такой прием в некоторых случаях может обнаружить и удалить malware которые иначе не были бы замечены, или помочь в борьбе с вредоносными программами умеющими изменять пользовательские привилегии.
Чтобы запустить программу под аккаунтом SYSTEM запустите командную строку ("Пуск" -> "Выполнить" -> CMD <Ввод> ). В открывшейся командной строке наберите "at ХХ:ХХ /interactive cmd.exe <Ввод>" (где ХХ:ХХ - текущее системное время+2минуты, также должна работать служба "Планировщик"(Task Scheduler)). Если все введено правильно появится подтверждение "Добавлена новая задача с кодом 1" и через 2 минуты откроется новое окно командной строки от имени %windir%\system32\svchost.exe. Теперь Вы залогинены под аккаунтом SYSTEM.
Кликните правой кнопкой на ярлыке программы, которую Вы хотите запустить и в открывшемся меню левой кнопкой на "Свойства". Скопируйте поле "Объект" вкладки "Ярлык", содержащее полный путь к исполняемой программе, затем кликните правой кнопкой в открытом svchost.exe окне командной строки и в открывшемся меню левой кнопкой нажмите "Вставить". Нажмите "Ввод". Ваша программа запущена с учетной записью SYSTEM.
P.S. Explorer при этом продолжает работать под аккаунтом текущего пользователя.
Ссылки по теме
http://support.microsoft.com/kb/120929
http://support.microsoft.com/kb/q132679
Взято с форума castlecops.com
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Сообщение от
HATTIFNATTOR
Благодаря одной старой уловке, упомянутой в knowlegebase Microsoft еще для Windows NT4 можно сделать охоту на malware более эффективной, запустив Вашу любимую AntiSpyware программу под учетной записью SYSTEM. Аккаунты SYSTEM и Администратора имеют одинаковые привилегии но различные функции, аккаунт SYSTEM используется самой операционной системой и сервисами, запущенными под Windows. Это внутренний аккаунт, он не виден в User Manager, не может быть добавлен ни к каким группам и ему не могут быть назначены права пользователя. (С другой стороны учетная запись SYSTEM обнаруживается на диске NTFS в менеджере файлов в разделе "Разрешения для.." вкладки "Безопасность", по умолчанию ему предоставлен полный доступ ко всем файлам на диске NTFS. Здесь SYSTEM имеет те же самые функциональные привилегии как и аккаунт Администратора). Такой прием в некоторых случаях может обнаружить и удалить malware которые иначе не были бы замечены, или помочь в борьбе с вредоносными программами умеющими изменять пользовательские привилегии.
Чтобы запустить программу под аккаунтом SYSTEM запустите командную строку ("Пуск" -> "Выполнить" -> CMD <Ввод> ). В открывшейся командной строке наберите "at ХХ:ХХ /interactive cmd.exe <Ввод>" (где ХХ:ХХ - текущее системное время+2минуты, также должна работать служба "Планировщик"(Task Scheduler)). Если все введено правильно появится подтверждение "Добавлена новая задача с кодом 1" и через 2 минуты откроется новое окно командной строки от имени %windir%\system32\svchost.exe. Теперь Вы залогинены под аккаунтом SYSTEM.
Кликните правой кнопкой на ярлыке программы, которую Вы хотите запустить и в открывшемся меню левой кнопкой на "Свойства". Скопируйте поле "Объект" вкладки "Ярлык", содержащее полный путь к исполняемой программе, затем кликните правой кнопкой в открытом svchost.exe окне командной строки и в открывшемся меню левой кнопкой нажмите "Вставить". Нажмите "Ввод". Ваша программа запущена с учетной записью SYSTEM.
P.S. Explorer при этом продолжает работать под аккаунтом текущего пользователя.
Ссылки по теме
http://support.microsoft.com/kb/120929
http://support.microsoft.com/kb/q132679
Взято с форума castlecops.com
Хорошая и нужная статья!!!!
-
-
Ну, если коротко, то не все так просто...
Во-первых, это, конечно, не "уловка", а достаточно широко известная с давних времен и довольно часто используемая возможность, изначально задуманная Microsoft именно в таком виде!
Во-вторых, для вызова команды at пользователь должен быть членом локальной группы администраторов (не говоря уже о сервисе Планировщика, который, по-хорошему, д.б. выключен, если вы не пользуетесь командой at)! Т.е., по сути дела, вы уже изначально должны иметь достаточно высокие привилегии на своем компьютере - тогда зачем вам еще и SYSTEM для запуска антиспая?
В-третьих, никто не отменял команду runas, которая, на мой взгляд, предоставляет более интересную возможность: работая большую часть времени под обычным пользователем, запускать некоторые программы от имени другого пользователя, к примеру, администратора (зная его пароль, естественно!).
В-четвертых, системная учетная запись имеет некоторые ограничения, например при работе с сетевыми ресурсами.
Но... на самом деле есть случаи, когда работа под системной учетной записью дает некоторые преимущества, но я не хочу распространяться на эту тему, ибо кто захочет, тот сам поищет и найдет...
-
-
RunAs разве поддерживается в НТ4 ? А на ней я именно таким способом восстанавливал учетные записи юзеров при некоторых глюках с винлогоном.
-
Сообщение от
Xen
RunAs разве поддерживается в НТ4 ?
...
НТ4 - имеется ввиду Windows NT 4.0? Насколько мне помнится - нет, а что, это еще актуально?
-
-
В-третьих, никто не отменял команду runas...
Я вот к этому. Для меня энтеха остается актуальной и поныне, увы =)