|
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. | NEI PREFERITI | .:: | RSS Forum | RSS News | NEWS web | NEWS software | |
| PUBBLICITA' | | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | | CERCA nel FORUM » | |
07-09-2015, 08.38.12 | #31 |
Gold Member
WT Expert
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
|
Rif: Impossibile fermare servizio, accesso negato
Esporta pippo. Guarda se in tale modalità è possibile eliminare la chiave di pippo che impone le restrizioni anche a Start.
___________________________________
Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice |
09-09-2015, 10.42.44 | #32 |
Hero Member
Registrato: 27-07-2004
Loc.: Bologna
Messaggi: 574
|
Rif: Impossibile fermare servizio, accesso negato
avviato in modalità provvisoria ed eliminata finalmente la chiave di registro "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\pippo" ho scoperto leggendo in giro che similmente ad un antivirus, avevano abilitato sul servizio quello che in gergo viene definito "registry filtering driver" cioè un "kernel-mode driver" che inebisce la modifica della chiave, ora non ho ben capito le dinamiche di questo kernel-mode driver, cioé:
-il servizio pippo eseguendosi lanciava il kernel-mode driver che a sua volta lanciava pippo.exe (io nel task manager vedevo pippo.exe e anche terminandolo non avevo cmq accesso a quella chiave di registro) -il servizio lanciava pippo.exe che a sua volta lanciava il kernel-mode driver in ogni caso nel registro proprio sotto la chiave pippo ho trovato pippt con però la sottochiave start impostata a 4 che lanciava Codice:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pippt] "Type"=dword:00000002 "Start"=dword:00000004 "ImagePath"=system32\DRIVERS\pippt.sys "DisplayName"="pippt" del resto la chiave pippo era Codice:
; 0x10 A Win32 program that can be started by the Service Controller and that obeys the service control protocol. This type of Win32 service runs in a process by itself. "Type"=dword:00000010 ; 2 Auto load "Start"=dword:00000002 Codice:
; 0x2 File system driver, which is also a Kernel device driver. "Type"=dword:00000002 ; 2 Disabled "Start"=dword:00000004 |
09-09-2015, 11.12.14 | #33 |
Gold Member
WT Expert
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
|
Rif: Impossibile fermare servizio, accesso negato
Ma dai: Un gestionale cazzuto
Penso che il driver in kernel mode venisse eseguito da solo prima ancora del login (per l'installazione c'è bisogno dei privilegi di accesso admin o domain admin *) e che tenesse sotto controllo quella chiave di pippo che è stata creata in fase d'installazione. * Ad esempio, i rootkit che fanno uso di driver a livello kernel nel 99% dei casi sono installati sotto account admin ed eseguiti a pieni privilegi anche sotto account con privilegi limitati. Tralasciamo, ovviamente, i casi in cui le patches da apportare evitino uno 0-day basato sull'elevazione dei privilegi in ambiente user e non admin. Cio non toglie che persino un gestionale possa fare uso delle stesse tecniche, ma se commerciale, dovrebbe superare l'antivirus e l'utente storcerebbe il naso non essendo proprio contento di essere messo al corrente di un'attività così poco trasparente da parte del prodotto sotto account con privilegi ridotti.
___________________________________
Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice |
09-09-2015, 12.08.35 | #34 |
Hero Member
Registrato: 27-07-2004
Loc.: Bologna
Messaggi: 574
|
Rif: Impossibile fermare servizio, accesso negato
cosa significa? (non che ti sei spiegato male, sono io che non capisco...)
cmq per essere precisi, pippo.exe non è il gestionale in sè, ma il software che hanno creato ah hoc al reparto CED (o più verosimilmente chi per loro viste le loro capacità) visto che non porta le stesse effigi del produttore gestionale per importare certi files nello stesso e che ora non mi è chiaro perché sono voluti arrivare a tanto, evidentemente avevano paura che l'antivirus o l'end user (cioè io) interferisse con i loro malefici sotterfugi |
09-09-2015, 12.42.40 | #35 |
Gold Member
WT Expert
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
|
Rif: Impossibile fermare servizio, accesso negato
Non ti rispondo alla prima domanda perchè puoi tranquillamente informarti su internet.
Ti rispondo, invece, alla seconda: Ogniqualvolta produci un componente che interfacciandosi al S.O. attraverso: 1 - Chiamate convenzionali alle funzionalità da esso rese disponibili sia per la sua funzionalità, sia per gli applicativi che ad esso si appoggiano 2 - Chiamate non convenzionali alle funzionalità da esso rese disponibili sia per la sua funzionalità, sia per gli applicativi che ad esso si appoggiano ad essere messe "sotto processo" sono sempre due le cose: 1 - L'invasività dell'azione portata a termine per la funzionalità prefissata 2 - Il danno prodotto dalle azioni propedeutiche che si rivelano funzionali e funzionanti. Non devi, quindi, saltare subito alle conclusioni in fatto di metodologie: Per i programmatori l'azione svolta avrebbe potuto avere conseguenze di tutela delle funzionalità del software per lo svolgimento del compito affidatogli, pertanto come rimando, la tutela delle aspettative dell'utente che ricerca la funzionalità che il software assolve.
___________________________________
Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice |
09-09-2015, 13.16.07 | #36 | |
Hero Member
Registrato: 27-07-2004
Loc.: Bologna
Messaggi: 574
|
Rif: Impossibile fermare servizio, accesso negato
ero ironico quando dicevo
Quota:
non mi sognerei mai di mettere in discussione le politiche aziendali, anche perché andrebbe a mio discapito visto che le sfrutto a mio vantaggio, quindi non mi posso neanche permettere di mettere in discussione il lavoro dei programmatori che hanno agito al fine di preservare la "loro creatura" e a "tutelare" il lavoro di noi end-user sotto più o meno l'egida dell'azienda secondo le loro disposizioni ... dico solo che mi ero stupito come del resto lo sei stato anche tu "che un gestionale potesse arrivare a tanto"... |
|
09-09-2015, 13.52.24 | #37 |
Gold Member
WT Expert
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.505
|
Rif: Impossibile fermare servizio, accesso negato
Beh, è un gestionale integrato di componentistica che, a detta tua, non porta le stesse effigi del produttore.
Comunque siamo d'accordo sulla sorpresa.
___________________________________
Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice |
09-09-2015, 14.00.51 | #38 |
Hero Member
Registrato: 27-07-2004
Loc.: Bologna
Messaggi: 574
|
Rif: Impossibile fermare servizio, accesso negato
stavo per editare il post sottolineando che era in realtà un software ad hoc ma sei stato più veloce di me (non solo in questo temo per me ...) anche se prima, avevo volutamente citato la frase che entrabi abbiamo utilizzato nel corso di questo thread
|
Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti) | |
Strumenti discussione | |
|
|
Discussioni simili | ||||
Discussione | Autore discussione | Forum | Risposte | Ultimo messaggio |
[XP sp2] accesso negato ai files .txt .doc .pdf | geppetto1 | Windows 7/Vista/XP/ 2003 | 13 | 02-06-2010 12.57.28 |
Accesso negato a cartelle | Papillon56 | Windows 7/Vista/XP/ 2003 | 3 | 06-11-2009 21.22.50 |
non riesco a installare driver: accesso negato | cesareco | Windows 7/Vista/XP/ 2003 | 6 | 27-08-2007 10.31.46 |
rete locale :accesso negato | smayor | Internet e Reti locali | 4 | 09-12-2006 21.43.47 |
revoca dello Status di Obiettori di Coscienza | top gun | Chiacchiere in libertà | 101 | 12-09-2005 18.10.47 |