none
Управление правами службы/драйвера RRS feed

  • Общие обсуждения

  • Здравствуйте!

    Вопрос, наверное, не обычный..но мне кажется здесь обитают настоящие специалисты по Windows и должны знать ответ. Вообщем есть в реестре такая запись HKEY_LOCAL_MACHINE\SYSTEM\ControlSet\services\omg .. где "omg" - имя сервиса. Там присутствуют ключи Start (3) - то есть "Вручную", и Type (1) - то есть "boot driver". И путь к самому драйверу - ImagePath (C:\some_folders\omg.sys). Вот. С помощью тулз ProcessExp&Monitor удалось определить что этот драйвер переодически сканирует реестр, жесткий диск и диспетчер задач и что-то отправляет в интернет. Это не вирус, я знаю что это такое (имя драйвера вымышленное) и удалять его не предлагайте. Вопрос мой вот в чем заключается..можно ли как-то эту службу/драйвер ограничить в правах? С помощью какого-то фаерволла может быть или еще как-нибудь. Не отключая его, просто запретить полностью доступ к файловой системе/процессам и вообще всему.. это возможно?

    • Изменен тип Vinokurov YuriyModerator 24 ноября 2010 г. 5:51 давность и отсутствие активности в теме
    15 ноября 2010 г. 5:33

Все ответы

  • Не отключая его, просто запретить полностью доступ к файловой системе/процессам и вообще всему.. это возможно?
    как ни странно - только отключив :) в остальном - касается больше разработчиков .NET, но ключевые слова - Integrity level, managed code, Code Access Security...
    15 ноября 2010 г. 7:01
    Отвечающий
  • Не отключая его, просто запретить полностью доступ к файловой системе/процессам и вообще всему.. это возможно?
    как ни странно - только отключив :) в остальном - касается больше разработчиков .NET, но ключевые слова - Integrity level, managed code, Code Access Security...

    То есть средствами Windows никак? Я в программировании не очень. Это печально =( Отключать его нельзя..
    15 ноября 2010 г. 11:18
  • То есть средствами Windows никак?
    не исключено, что я чего-то тут не знаю, но так... да и "программирование" вам ничем не поможет - это актуально при разработке исполняемого кода той же службы, в нынешних реалиях - практически никто при разработке этим не пользуется...
    15 ноября 2010 г. 11:37
    Отвечающий
  • почему же никак.. любая служба запускается от чъего-то имени... В свойствах самой службы можно выбрать пользователя от чъего имени она запускается. По умолчанию службы запрускаются с системной учетной записью... создайте пользователя, ограничьте ему права и запускайте службу от его имени.

    15 ноября 2010 г. 11:59
  • Ну хорошо.. тогда должен быть альтернативный вариант..

    Интересно, возможно ли как-то досканально отследить работу службы? Раз уж ограничить в правах нельзя. ProcessMonitor (или Explorer, не помню) показывает как svchost с этой службой "общается"..то есть это все происходит не так уж прям невидимо. Можно ли узнать что эта служба/драйвер делает в данный момент?

    Да, большое спасибо за ответы..

    15 ноября 2010 г. 12:00
  • Можно ли узнать что эта служба/драйвер делает в данный момент?
    Если это служба от Microsoft и под неё есть символы: можно лишь по некоторым признакам предположить, что она делает. Сопоставив данные, полученные через Process Monitor, можно примерно представить производимые службой действия. А что за служба вас так беспокоит, позвольте узнать?
    15 ноября 2010 г. 12:05
    Отвечающий
  • Только предположить и только Process Monitor? ( Кошмар. И кто только эти службы придумал. В ProcMonitor'e в основном непонятная информация..и ничего конкретного. То как "оно" отправляет что-то в интернет хорошо видно, а вот что и где "смотрит" служба на компьютере - в ProcMonitor'e не увидеть.

    Название службы тут сказать не могу..сказал бы в личку, но не вижу где она здесь)

    15 ноября 2010 г. 12:16
  • То как "оно" отправляет что-то в интернет хорошо видно, а вот что и где "смотрит" служба на компьютере - в ProcMonitor'e не увидеть.
    Почему же? мне кажется - информация исчерпывающая
    15 ноября 2010 г. 12:28
    Отвечающий
  • Для того что бы посмотреть что именно отправляется нужно ставить  Microsoft Network Monitor (он в стандартные утилиты не входит).  запустить службу с ограниченными правами должно быть достаточно для решения вашей проблемы....
    15 ноября 2010 г. 12:32
  • Для того что бы посмотреть что именно отправляется нужно ставить  Microsoft Network Monitor (он в стандартные утилиты не входит).  запустить службу с ограниченными правами должно быть достаточно для решения вашей проблемы....


    Sergey2005, спасибо за ответ. А как запустить службу с ограниченными правами?..

    AndricoRus, я могу Вам показать скриншот из ProcMonitor'a.. там ничего не понятно..

    • Изменено Lemon_ 15 ноября 2010 г. 12:48
    15 ноября 2010 г. 12:44
  • запустить службу с ограниченными правами должно быть достаточно для решения вашей проблемы....
    ну тут только одно но - главное, чтобы служба могла выполнять свой функционал под этими правами :)
    15 ноября 2010 г. 12:47
    Отвечающий
  • Создайте пользователя с ограниченными правами, откройте консоль управления компьютером, выберите нужную службу и укажите - запускать службу от имени пользователя, которго вы создали

    15 ноября 2010 г. 12:47
  • я могу Вам показать скриншот из ProcMonitor'a.. там ничего не понятно..
    лучше .PML тогда выложите
    15 ноября 2010 г. 12:52
    Отвечающий
  • Создайте пользователя с ограниченными правами, откройте консоль управления компьютером, выберите нужную службу и укажите - запускать службу от имени пользователя, которго вы создали


    В Управление Компьютером -> Службы и Приложения -> Службы - этой службы нету.. внимательно несколько раз список просмотрел - нет. И в Диспетчере задач - вкладка Службы тоже пусто. Есть только в реестре. Может можно в реестре как то изменить от какого пользователя запускать? Ключ какой-то добавить.

    AndricoRus, хорошо, чуть позже выложу.

    Приелось слово "служба"..хотя в реестре оно обозначено как "A Kernel device driver" .. вот тут есть информация по этой теме http://support.microsoft.com/kb/103000

    15 ноября 2010 г. 13:06
  • В Управление Компьютером -> Службы и Приложения -> Службы - этой службы нету..
    так-так-так, отсюда поподробнее... что же вы всё-таки пытаетесь "отладить" то? я говорил про службу в современном и узком понимании служб ОС... подробнее - это важно
    15 ноября 2010 г. 14:57
    Отвечающий
  • Да служба это.. просто один ключ отличается от других служб.. Type.. у обычных тип 16, а у исследуемой службы тип 1. Немного поэксперементировал. Служба эта находится в HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\ .. если же скопировать все в HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\ и HKEY_LOCAL_MACHINE\SYSTEM\CurentControlSet\services\ ничего при этом не меняя, никаких ключей, просто скопировать ветку.. то эту службу становится видно в списке "Службы". Но если в "Службах" что то изменить, например, тип запуска этой службы, то меняются ветки реестра ControlSet001 и CurentControlSet, то есть мною созданные, а нужная ControlSet002 не меняется %) Но зато я вроде бы понял как через реестр указать от чьего имени запускать службу. Надо это испробовать. Теперь я не пойму как настроить права пользователя, как мне надо..вот я создал учетку, от которой будет запускаться служба..как теперь ее права сделать по минимуму? С жесткому диску я вроде сделал - добавил там в Безопасности и все запрет поставил..а как быть с доступом к процессам и реестру?

    15 ноября 2010 г. 17:38
  • Служба эта находится в HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\ .. если же скопировать все в HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\ и HKEY_LOCAL_MACHINE\SYSTEM\CurentControlSet\services\ ничего при этом не меняя, никаких ключей, просто скопировать ветку.. то эту службу становится видно в списке "Службы". Но если в "Службах" что то изменить, например, тип запуска этой службы, то меняются ветки реестра ControlSet001 и CurentControlSet, то есть мною созданные, а нужная ControlSet002 не меняется %) Но зато я вроде бы понял как через реестр указать от чьего имени запускать службу.
    "Всё смешалось в доме Облонских" (c)... ControlSet002 - это Last Known Good... то бишь ControlSet002 используется исключительно как резервная копия последней удачной конфигурации: изменения туда в оперативном режиме и не должны добавляться (да и смысла нет, как и доступа :)) CurrentControlSet - это указатель на один из контролсетов_XXX: в вашем случае - на ControlSet001: поэтому вы и видите изменения в обоих. Вопрос всё ещё актуален - без открытия вами тайны про несчастную службу нам тяжеловато вам помочь...
    http://support.microsoft.com/kb/100010
    Всё-таки драйвер не стал бы я трогать, ой не стал :) в лучшем случае - просто проигнорирует параметры запуска, в худшем - закончится восстановлением с бэкапа (учитывая ваши попытки поиграть с ControlSet002)
    16 ноября 2010 г. 7:01
    Отвечающий
  • Уважаемый пользователь!

    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow MSTechnetForum on Twitter

    Посетите Блог Инженеров Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html
    22 ноября 2010 г. 11:27
    Модератор