> Existuje něco jako firewall do registru?
> aby se mi zobrazilo, když nějaká aplikace
> chce zapsat do /Run, tak rozhodnout,
> vidět argumenty.
Tzv. personální firewally či security suites (v podstatě součást každého dnešního antiviru) toto dělají. Hlídají klíče, které slouží pro automaticeké spouštění aplikací/načítání knihoven atd.
> Pozor, to je něco jiného než oprávnění
> (kde se nezapíše a basta a pokud vím,
> model oprávnění nerozpoznává původce-
> aplikaci).
Ano, oprávnění procesu se odvíjí od access tokenu, kterým disponuje, což zjednodušeně odpovídá uživateli, pod nímž proces běží.
> Možná to trochu zamotá, že některá
> aplikace budou zapisovat přímo přes
> funkci API a některé spuštěním
> podprocesu reg.exe
Antiviry by to zmást nemělo (alespoň ty kvalitní), protože vytvoření nového procesu mohou sledovat, ba i dokumentovaným způsobem blokovat. A vidí i příkazovou řádku.
> sledovat UAC
Pokud by dané aplikaci stačilo "zaplevelit" pouze profil aktuálně přihlášeného uživatele (resp. toho, pod kterým běží), vystačí si bez elevace.
19 Odpovědí
4653 Zhlédnutí