• XSS.stack #1 – первый литературный журнал от юзеров форума

Автозапуск

Отслеживать

at0m

RAID-массив
Пользователь
Регистрация
16.05.2010
Сообщения
93
Реакции
2
Возможно ли скрыть ключ реестра при ограниченых правах в ветве HKEY_CURRENT_USER...run
насколько я понимаю не возможно поставить hook из за того что надо админские права ?
Но с другой если есть админские права смысл туда ставить проще поставить хук и фильтровать AppInit_DLLs или установить сервис(длл) но меня все же интересует возможность при ограниченых правах скрыть ключ реестра ???
 
at0m, скрыть от чего ? никто не мешает тебе прыгнуть во все процессы твоего юзера, и похукать там функции работы с реестром, толку от этого будет очень мало во первых, потому как на в7 regedit запускается от админа ( делает запрос uac ), во вторых можно запустить таск менеджер, который будет запущен winlogon'ом в который заинжектиться не получиться не имея админских привилегий. вообще это касается любого юзермод хука, если не получиться попасть в winlogon можно запустить любой процесс без хуков в нем.

так что в в7 наверное нету возможности скрыть ключ при низких правах, есть еще какие то игры с правами ключа, через ZwSetSecurityObject, где можно сделать ключ не убиваемым простыми средствами или что то типа того. не разбирался с этим никогда, знаю очень посредственно. так что в этом направление смотрите сами.
 
Автозапуск, варианты автозапуска
Хуки давно уже не используют, ввиду их палевности и лёгкого снятия, самый продвинутый метод - через загрузочную запись (MBR etc)
 
Господа капатели, не так давно, 04.06.13, выпалт он наверное раньше, но всё же, вывалился в паблик ring0 exploit, думается мне что багу еще не пофиксили, так что в чём осталась загвоздка? RING0 и в бой)) :D
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх