elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Security Series.XSS. [Cross Site Scripting]


+  Foro de elhacker.net
|-+  Programación
| |-+  Programación General
| | |-+  Antivirus+servicio
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Antivirus+servicio  (Leído 2,109 veces)
sbc10

Desconectado Desconectado

Mensajes: 22


Ver Perfil
Antivirus+servicio
« en: 10 Diciembre 2014, 21:43 pm »

hola carnales!
una pregunta:
en windows en una cuenta que no sea administrador,
o incluso en una que es administrador pero que no tiene privilegios administrativos,
debido al UAC(user account control)
si intentas instalar un servicio,entonces OpenSCManager da error y no accede al SCM.
pero entonces como en esa misma cuenta un antivirus por ejemplo Pandasofware,puede instalar sus servicios?
aver si me podeis sacar del taco mental que tengo,gracias!


En línea

x64core


Desconectado Desconectado

Mensajes: 1.908


Ver Perfil
Re: Antivirus+servicio
« Respuesta #1 en: 13 Diciembre 2014, 04:39 am »

hola carnales!
una pregunta:
en windows en una cuenta que no sea administrador,
o incluso en una que es administrador pero que no tiene privilegios administrativos,
debido al UAC(user account control)
si intentas instalar un servicio,entonces OpenSCManager da error y no accede al SCM.
pero entonces como en esa misma cuenta un antivirus por ejemplo Pandasofware,puede instalar sus servicios?
aver si me podeis sacar del taco mental que tengo,gracias!
¿Cual es el error? ¿Qué quieres decir con administrador pero que no tiene privilegios? Si el UAC está habilitada se podrá instalar pero se necesitará una confirmación igual se puede evadir esa confirmación pero los Antivirus no necesitan hacerlo.


En línea

Eleкtro
Ex-Staff
*
Desconectado Desconectado

Mensajes: 9.788



Ver Perfil
Re: Antivirus+servicio
« Respuesta #2 en: 13 Diciembre 2014, 12:47 pm »

El instalador de cualquier antivirus está autentificado, es decir, tiene incrustado una firma digital con un certificado de un server de confianza que es reconocido por Windows para saber que la fuente del archivo es de total confianza, aunque no estoy del todo seguro de si esto influirá en el asunto de los privilegios ya que el tema del Malware no es lo mio, pero sin duda es un añadido más de fiabilidad que utilizan los AV.

Y seguramente los antivirus también hagan uso de la técnica User impersonation para impersonar la cuenta de usuario identidad SYSTEM (es decir, crear y ejecutar procesos desde dicho usuario de forma "invisible") y así elevar arbitrariamente los privilegios al máximo al instalar y/o utilizar sus componentes.

Para reproducir lo primero, y hasta donde yo sé, necesitas dejarte un verdadero pastizal en comprar/validar un certificado de confianza (ej: VeriSign) ya que no es suficiente con hacer tu firma digital casera, eso no vale pa nah.
Y para reproducir lo segundo se necesitan altos conocimientos sobre el tema, tanto del funcionamiento interno de Windows como de programación, ya sea del lenguaje que vayas a utilizar, como de la WinAPI.

Windows API Impersonation Functions
A Complete Impersonation Demo in C#.NET

Saludos
« Última modificación: 13 Diciembre 2014, 13:26 pm por Eleкtro » En línea

x64core


Desconectado Desconectado

Mensajes: 1.908


Ver Perfil
Re: Antivirus+servicio
« Respuesta #3 en: 13 Diciembre 2014, 22:37 pm »

El instalador de cualquier antivirus está autentificado, es decir, tiene incrustado una firma digital con un certificado de un server de confianza que es reconocido por Windows para saber que la fuente del archivo es de total confianza, aunque no estoy del todo seguro de si esto influirá en el asunto de los privilegios ya que el tema del Malware no es lo mio, pero sin duda es un añadido más de fiabilidad que utilizan los AV.

Y seguramente los antivirus también hagan uso de la técnica User impersonation para impersonar la cuenta de usuario identidad SYSTEM (es decir, crear y ejecutar procesos desde dicho usuario de forma "invisible") y así elevar arbitrariamente los privilegios al máximo al instalar y/o utilizar sus componentes.

Para reproducir lo primero, y hasta donde yo sé, necesitas dejarte un verdadero pastizal en comprar/validar un certificado de confianza (ej: VeriSign) ya que no es suficiente con hacer tu firma digital casera, eso no vale pa nah.
Y para reproducir lo segundo se necesitan altos conocimientos sobre el tema, tanto del funcionamiento interno de Windows como de programación, ya sea del lenguaje que vayas a utilizar, como de la WinAPI.

Windows API Impersonation Functions
A Complete Impersonation Demo in C#.NET

Saludos

Que el ejecutable sea firmado o no, eso no tiene que ver con auto-elevación de un proceso de un ejecutable con nivel RequireAdministrator, la ventana del UAC será siempre mostrada. Sólo en el caso que el problema sea un modulo de kernel para x64 o Win8+ con Secure Boot habilitado, entonces si es necesario que Modulo sea firmado. Acerca de User Impersonation, eso no quiere decir que un proceso se puede elevar sin intervención del usuario o configuración del SO. De hecho porqué una aplicación legitica como un Antivirus no obtendría privilegios de administrador simplemente solicitando permisos al usuario?

-

@sbc10:
Sistema Operativo, Arquitectura, Versión del instalador de Panda, tipo de error?
« Última modificación: 13 Diciembre 2014, 22:42 pm por x64Core » En línea

sbc10

Desconectado Desconectado

Mensajes: 22


Ver Perfil
Re: Antivirus+servicio
« Respuesta #4 en: 14 Diciembre 2014, 12:11 pm »

gracias x64Core y Eleкtro!
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines