Visualizza messaggio singolo
Vecchio 09-09-2015, 12.12.14   #33
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.503
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Rif: Impossibile fermare servizio, accesso negato

Ma dai: Un gestionale cazzuto
Penso che il driver in kernel mode venisse eseguito da solo prima ancora del login (per l'installazione c'è bisogno dei privilegi di accesso admin o domain admin *) e che tenesse sotto controllo quella chiave di pippo che è stata creata in fase d'installazione.

* Ad esempio, i rootkit che fanno uso di driver a livello kernel nel 99% dei casi sono installati sotto account admin ed eseguiti a pieni privilegi anche sotto account con privilegi limitati.
Tralasciamo, ovviamente, i casi in cui le patches da apportare evitino uno 0-day basato sull'elevazione dei privilegi in ambiente user e non admin.
Cio non toglie che persino un gestionale possa fare uso delle stesse tecniche, ma se commerciale, dovrebbe superare l'antivirus e l'utente storcerebbe il naso non essendo proprio contento di essere messo al corrente di un'attività così poco trasparente da parte del prodotto sotto account con privilegi ridotti.
___________________________________

Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice
LoryOne non è collegato   Rispondi citando