Antivirus+servicio

Iniciado por sbc10, 10 Diciembre 2014, 21:43 PM

0 Miembros y 1 Visitante están viendo este tema.

sbc10

hola carnales!
una pregunta:
en windows en una cuenta que no sea administrador,
o incluso en una que es administrador pero que no tiene privilegios administrativos,
debido al UAC(user account control)
si intentas instalar un servicio,entonces OpenSCManager da error y no accede al SCM.
pero entonces como en esa misma cuenta un antivirus por ejemplo Pandasofware,puede instalar sus servicios?
aver si me podeis sacar del taco mental que tengo,gracias!

x64core

Cita de: sbc10 en 10 Diciembre 2014, 21:43 PM
hola carnales!
una pregunta:
en windows en una cuenta que no sea administrador,
o incluso en una que es administrador pero que no tiene privilegios administrativos,
debido al UAC(user account control)
si intentas instalar un servicio,entonces OpenSCManager da error y no accede al SCM.
pero entonces como en esa misma cuenta un antivirus por ejemplo Pandasofware,puede instalar sus servicios?
aver si me podeis sacar del taco mental que tengo,gracias!
¿Cual es el error? ¿Qué quieres decir con administrador pero que no tiene privilegios? Si el UAC está habilitada se podrá instalar pero se necesitará una confirmación igual se puede evadir esa confirmación pero los Antivirus no necesitan hacerlo.

Eleкtro

#2
El instalador de cualquier antivirus está autentificado, es decir, tiene incrustado una firma digital con un certificado de un server de confianza que es reconocido por Windows para saber que la fuente del archivo es de total confianza, aunque no estoy del todo seguro de si esto influirá en el asunto de los privilegios ya que el tema del Malware no es lo mio, pero sin duda es un añadido más de fiabilidad que utilizan los AV.

Y seguramente los antivirus también hagan uso de la técnica User impersonation para impersonar la cuenta de usuario identidad SYSTEM (es decir, crear y ejecutar procesos desde dicho usuario de forma "invisible") y así elevar arbitrariamente los privilegios al máximo al instalar y/o utilizar sus componentes.

Para reproducir lo primero, y hasta donde yo sé, necesitas dejarte un verdadero pastizal en comprar/validar un certificado de confianza (ej: VeriSign) ya que no es suficiente con hacer tu firma digital casera, eso no vale pa nah.
Y para reproducir lo segundo se necesitan altos conocimientos sobre el tema, tanto del funcionamiento interno de Windows como de programación, ya sea del lenguaje que vayas a utilizar, como de la WinAPI.

Windows API Impersonation Functions
A Complete Impersonation Demo in C#.NET

Saludos








x64core

#3
Cita de: Eleкtro en 13 Diciembre 2014, 12:47 PM
El instalador de cualquier antivirus está autentificado, es decir, tiene incrustado una firma digital con un certificado de un server de confianza que es reconocido por Windows para saber que la fuente del archivo es de total confianza, aunque no estoy del todo seguro de si esto influirá en el asunto de los privilegios ya que el tema del Malware no es lo mio, pero sin duda es un añadido más de fiabilidad que utilizan los AV.

Y seguramente los antivirus también hagan uso de la técnica User impersonation para impersonar la cuenta de usuario identidad SYSTEM (es decir, crear y ejecutar procesos desde dicho usuario de forma "invisible") y así elevar arbitrariamente los privilegios al máximo al instalar y/o utilizar sus componentes.

Para reproducir lo primero, y hasta donde yo sé, necesitas dejarte un verdadero pastizal en comprar/validar un certificado de confianza (ej: VeriSign) ya que no es suficiente con hacer tu firma digital casera, eso no vale pa nah.
Y para reproducir lo segundo se necesitan altos conocimientos sobre el tema, tanto del funcionamiento interno de Windows como de programación, ya sea del lenguaje que vayas a utilizar, como de la WinAPI.

Windows API Impersonation Functions
A Complete Impersonation Demo in C#.NET

Saludos

Que el ejecutable sea firmado o no, eso no tiene que ver con auto-elevación de un proceso de un ejecutable con nivel RequireAdministrator, la ventana del UAC será siempre mostrada. Sólo en el caso que el problema sea un modulo de kernel para x64 o Win8+ con Secure Boot habilitado, entonces si es necesario que Modulo sea firmado. Acerca de User Impersonation, eso no quiere decir que un proceso se puede elevar sin intervención del usuario o configuración del SO. De hecho porqué una aplicación legitica como un Antivirus no obtendría privilegios de administrador simplemente solicitando permisos al usuario?

-

@sbc10:
Sistema Operativo, Arquitectura, Versión del instalador de Panda, tipo de error?

sbc10

gracias x64Core y Eleкtro!