In che modo il virus Winlock può modificare il registro di Windows senza il permesso di amministratore?

2

Quando tenti di installare il programma, ti viene sempre chiesto il permesso dell'amministratore. Stessa cosa quando provi a usare il comando 'regedit'.

Quindi sono interessato a come funziona questo virus. Come può modificare Shell e userInit nel registro senza chiedere alcuna autorizzazione?

    
posta Dracontis 28.04.2012 - 00:23
fonte

3 risposte

9

La parte utente del registro ( HKey_Current_User ) è scrivibile da applicazioni non privilegiate.
La parte della macchina del registro ( HKey_Local_Machine ) è scrivibile solo da programmi privilegiati.
Alcune sottochiavi potrebbero richiedere autorizzazioni diverse, ma questo è vero per la maggior parte delle chiavi

Per cambiare la shell per l'utente corrente, puoi modificare HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell , che si trova nella parte utente del registro e quindi probabilmente scrivibile da applicazioni non privilegiate.

    
risposta data 03.05.2012 - 17:25
fonte
3

Ci sono sezioni del registro in cui gli utenti possono scrivere. Questo è legato alla possibilità di avviare ResEdit stesso. Quindi il virus sta scrivendo lì.

    
risposta data 03.05.2012 - 16:36
fonte
2

Regedit non ha realmente bisogno di diritti di amministratore per scrivere il registro, ma poiché ci sono così tante aree di accesso del registro per cui hai bisogno di diritti di amministratore, eleva i privilegi all'avvio più per comodità rispetto alla necessità .

    
risposta data 03.05.2012 - 19:53
fonte

Leggi altre domande sui tag