Telefonino.net network
 
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. NEI PREFERITI .:: | RSS Forum | RSS News | NEWS web | NEWS software |
| PUBBLICITA' | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | CERCA nel FORUM » |

Torna indietro   WinTricks Forum > Sistemi Operativi > Windows 7/Vista/XP/ 2003

Notices

Rispondi
 
Strumenti discussione
Vecchio 07-09-2015, 08.38.12   #31
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.503
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Rif: Impossibile fermare servizio, accesso negato

Premi F8 un attimo prima che il S.O. si avvi e falllo avviare in modalità provvisoria.
Esporta pippo.
Guarda se in tale modalità è possibile eliminare la chiave di pippo che impone le restrizioni anche a Start.
___________________________________

Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice
LoryOne non è collegato   Rispondi citando
Vecchio 09-09-2015, 10.42.44   #32
gutguy
Hero Member
 
L'avatar di gutguy
 
Registrato: 27-07-2004
Loc.: Bologna
Messaggi: 573
gutguy promette bene
Rif: Impossibile fermare servizio, accesso negato

avviato in modalità provvisoria ed eliminata finalmente la chiave di registro "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servi ces\pippo" ho scoperto leggendo in giro che similmente ad un antivirus, avevano abilitato sul servizio quello che in gergo viene definito "registry filtering driver" cioè un "kernel-mode driver" che inebisce la modifica della chiave, ora non ho ben capito le dinamiche di questo kernel-mode driver, cioé:

-il servizio pippo eseguendosi lanciava il kernel-mode driver che a sua volta lanciava pippo.exe (io nel task manager vedevo pippo.exe e anche terminandolo non avevo cmq accesso a quella chiave di registro)
-il servizio lanciava pippo.exe che a sua volta lanciava il kernel-mode driver

in ogni caso nel registro proprio sotto la chiave pippo ho trovato pippt con però la sottochiave start impostata a 4 che lanciava

Codice:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pippt]
"Type"=dword:00000002
"Start"=dword:00000004
"ImagePath"=system32\DRIVERS\pippt.sys
"DisplayName"="pippt"
chiave che ho poi eliminato

del resto la chiave pippo era

Codice:
; 0x10           A Win32 program that can be started by the Service Controller and that obeys the service control protocol. This type of Win32 service runs in a process by itself.
"Type"=dword:00000010
; 2           Auto load
"Start"=dword:00000002
pippt

Codice:
; 0x2            File system driver, which is also a Kernel device driver.
"Type"=dword:00000002
; 2           Disabled
"Start"=dword:00000004
___________________________________

the eye, l'occhio
gutguy non è collegato   Rispondi citando
Vecchio 09-09-2015, 11.12.14   #33
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.503
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Rif: Impossibile fermare servizio, accesso negato

Ma dai: Un gestionale cazzuto
Penso che il driver in kernel mode venisse eseguito da solo prima ancora del login (per l'installazione c'è bisogno dei privilegi di accesso admin o domain admin *) e che tenesse sotto controllo quella chiave di pippo che è stata creata in fase d'installazione.

* Ad esempio, i rootkit che fanno uso di driver a livello kernel nel 99% dei casi sono installati sotto account admin ed eseguiti a pieni privilegi anche sotto account con privilegi limitati.
Tralasciamo, ovviamente, i casi in cui le patches da apportare evitino uno 0-day basato sull'elevazione dei privilegi in ambiente user e non admin.
Cio non toglie che persino un gestionale possa fare uso delle stesse tecniche, ma se commerciale, dovrebbe superare l'antivirus e l'utente storcerebbe il naso non essendo proprio contento di essere messo al corrente di un'attività così poco trasparente da parte del prodotto sotto account con privilegi ridotti.
___________________________________

Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice
LoryOne non è collegato   Rispondi citando
Vecchio 09-09-2015, 12.08.35   #34
gutguy
Hero Member
 
L'avatar di gutguy
 
Registrato: 27-07-2004
Loc.: Bologna
Messaggi: 573
gutguy promette bene
Rif: Impossibile fermare servizio, accesso negato

Quota:
Inviato da LoryOne Visualizza messaggio
evitino uno 0-day basato sull'elevazione dei privilegi in ambiente user
cosa significa? (non che ti sei spiegato male, sono io che non capisco...)

cmq per essere precisi, pippo.exe non è il gestionale in sè, ma il software che hanno creato ah hoc al reparto CED (o più verosimilmente chi per loro viste le loro capacità) visto che non porta le stesse effigi del produttore gestionale per importare certi files nello stesso e che
Quota:
Inviato da gutguy Visualizza messaggio
allo stesso modo dell'antivirus controlla i file in esecuzione sulla workstation alla ricerca di files con una certa estensione al fine di importarli sul server sql aziendale per successiva importazione ed elaborazione su un gestionale
ora non mi è chiaro perché sono voluti arrivare a tanto, evidentemente avevano paura che l'antivirus o l'end user (cioè io) interferisse con i loro malefici sotterfugi
___________________________________

the eye, l'occhio
gutguy non è collegato   Rispondi citando
Vecchio 09-09-2015, 12.42.40   #35
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.503
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Rif: Impossibile fermare servizio, accesso negato

Non ti rispondo alla prima domanda perchè puoi tranquillamente informarti su internet.
Ti rispondo, invece, alla seconda:
Ogniqualvolta produci un componente che interfacciandosi al S.O. attraverso:

1 - Chiamate convenzionali alle funzionalità da esso rese disponibili sia per la sua funzionalità, sia per gli applicativi che ad esso si appoggiano
2 - Chiamate non convenzionali alle funzionalità da esso rese disponibili sia per la sua funzionalità, sia per gli applicativi che ad esso si appoggiano

ad essere messe "sotto processo" sono sempre due le cose:
1 - L'invasività dell'azione portata a termine per la funzionalità prefissata
2 - Il danno prodotto dalle azioni propedeutiche che si rivelano funzionali e funzionanti.
Non devi, quindi, saltare subito alle conclusioni in fatto di metodologie:
Per i programmatori l'azione svolta avrebbe potuto avere conseguenze di tutela delle funzionalità del software per lo svolgimento del compito affidatogli, pertanto come rimando, la tutela delle aspettative dell'utente che ricerca la funzionalità che il software assolve.
___________________________________

Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice
LoryOne non è collegato   Rispondi citando
Vecchio 09-09-2015, 13.16.07   #36
gutguy
Hero Member
 
L'avatar di gutguy
 
Registrato: 27-07-2004
Loc.: Bologna
Messaggi: 573
gutguy promette bene
Rif: Impossibile fermare servizio, accesso negato

ero ironico quando dicevo
Quota:
interferisse con i loro malefici sotterfugi
non mi aspettavo certo però di ricevere una risposta così diplomatica e formale,
non mi sognerei mai di mettere in discussione le politiche aziendali, anche perché andrebbe a mio discapito visto che le sfrutto a mio vantaggio, quindi non mi posso neanche permettere di mettere in discussione il lavoro dei programmatori che hanno agito al fine di preservare la "loro creatura" e a "tutelare" il lavoro di noi end-user sotto più o meno l'egida dell'azienda secondo le loro disposizioni ...
dico solo che mi ero stupito come del resto lo sei stato anche tu "che un gestionale potesse arrivare a tanto"...
___________________________________

the eye, l'occhio
gutguy non è collegato   Rispondi citando
Vecchio 09-09-2015, 13.52.24   #37
LoryOne
Gold Member
WT Expert
 
Registrato: 09-01-2002
Loc.: None of your business
Messaggi: 5.503
LoryOne è un gioiello raroLoryOne è un gioiello raroLoryOne è un gioiello raro
Rif: Impossibile fermare servizio, accesso negato

Beh, è un gestionale integrato di componentistica che, a detta tua, non porta le stesse effigi del produttore.
Comunque siamo d'accordo sulla sorpresa.
___________________________________

Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice
LoryOne non è collegato   Rispondi citando
Vecchio 09-09-2015, 14.00.51   #38
gutguy
Hero Member
 
L'avatar di gutguy
 
Registrato: 27-07-2004
Loc.: Bologna
Messaggi: 573
gutguy promette bene
Rif: Impossibile fermare servizio, accesso negato

stavo per editare il post sottolineando che era in realtà un software ad hoc ma sei stato più veloce di me (non solo in questo temo per me ...) anche se prima, avevo volutamente citato la frase che entrabi abbiamo utilizzato nel corso di questo thread
___________________________________

the eye, l'occhio
gutguy non è collegato   Rispondi citando
Rispondi


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)
 
Strumenti discussione

Regole di scrittura
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is ON
Gli smilies sono ON
[IMG] è ON
Il codice HTML è OFF

Vai al forum

Discussioni simili
Discussione Autore discussione Forum Risposte Ultimo messaggio
[XP sp2] accesso negato ai files .txt .doc .pdf geppetto1 Windows 7/Vista/XP/ 2003 13 02-06-2010 12.57.28
Accesso negato a cartelle Papillon56 Windows 7/Vista/XP/ 2003 3 06-11-2009 21.22.50
non riesco a installare driver: accesso negato cesareco Windows 7/Vista/XP/ 2003 6 27-08-2007 10.31.46
rete locale :accesso negato smayor Internet e Reti locali 4 09-12-2006 21.43.47
revoca dello Status di Obiettori di Coscienza top gun Chiacchiere in libertà 101 12-09-2005 18.10.47

Orario GMT +2. Ora sono le: 05.47.10.


E' vietata la riproduzione, anche solo in parte, di contenuti e grafica.
Copyright © 1999-2017 Edizioni Master S.p.A. p.iva: 02105820787 • Tutti i diritti sono riservati
L'editore NON si assume nessuna responsabilità dei contenuti pubblicati sul forum in quanto redatti direttamente dagli utenti.
Questi ultimi sono responsabili dei contenuti da loro riportati nelle discussioni del forum
Powered by vBulletin - 2010 Copyright © Jelsoft Enterprises Limited.