Quando installi un programma in Windows, ho sempre notato che devi permetterlo Admin (elevazione UAC). Tuttavia, ora può effettivamente fare tutto ciò che vuole! Disimballare un servizio, distribuirlo come LOCAL SYSTEM, scrivere anche in un rootkit! Tutto perché volevo semplicemente installare un programma di base che ho trovato sul web.
C'è un modo migliore per gestire gli installatori là fuori? Dove ha diritti limitati?
In pratica si riduce alla fiducia. La maggior parte dei pacchetti software sono firmati digitalmente. Se sono firmati da un certificato attendibile, puoi essere più sicuro della loro identità. Tuttavia non è infallibile.
Non c'è altro vero modo di sapere, se vuoi essere sicuro di dover rivedere ogni singolo bit di codice che non è possibile con Windows dato che è un sistema operativo closed source.
Domanda interessante. Sono stato ispirato a fare una piccola ricerca (spesso sono sconcertato dalle politiche di sicurezza su Windows). Se potessi commentare ti chiederei se stavi cercando la risposta di un programmatore (come faccio a fare in modo che il mio programma di installazione smetta di richiedere i diritti di amministratore) o la risposta di un utente (come eseguo in sicurezza un programma di installazione), ma poiché non posso farlo andando a darti entrambi.
Per eseguire gli installer in modo sicuro, ho fatto una piccola ricerca su "sandboxing software" e ho trovato Sandboxie . Mai usato, non ho idea se è buono, ma l'idea è ciò che conta qui: Sandboxie ti permette di installare il software in un ambiente sandbox ed eseguirlo da lì, in modo che rimanga contenuto e non possa infettare il tuo sistema se si tratta di malware . Inoltre, può essere rimosso facilmente se si sospetta che sia dannoso. Questo in realtà non riduce i suoi privilegi, che è quello che hai chiesto, ma risolve il problema di sicurezza (supponendo che ti fidi del tuo software sandbox).
Per creare programmi di installazione che non richiedono i privilegi di amministratore, rimane un po 'poco chiaro, ma questo post sullo scambio di stack del programmatore suggerisce che scrivere un programma di installazione per installare un'applicazione per utente gli consentirebbe di funzionare senza elevazione privilegi. Immagino che quando UAC è stato introdotto con Vista, ha reso gli installer che non richiedevano privilegi di amministratore un po 'buggy, ed è appena diventata una convenzione per richiedere l'admin completo per evitare mal di testa, anche se il problema doveva essere risolto in Windows 7.
TLDR;
Dai un'occhiata a Sandboxie .
Ho cercato di capire la stessa cosa. Finora ho trovato Universal Extractor Universal Extractor 2.0 (fork aggiornato) che può estrarre i file da molti tipi di programmi di installazione. È fondamentalmente un frontend per molte utility freeware / open-source (come innounp e 7-zip) che possono estrarre file da programmi di installazione e altri formati di file di archivio. Questo è utile per i programmi di installazione molto semplici che estraggono alcuni file in una cartella. Per alcuni tipi di programmi di installazione, è anche possibile ottenere i file di script. Ad esempio, con gli installer Inno, viene utilizzato innounp:
It recovers portions of the installation script (.iss file), including the registry changes and the compiled Innerfuse/RemObjects Pascal Script, if available.
Per gli installer come NSIS (che un sacco di ransomware ha usato recentemente), ci sono alcuni strumenti di decompilazione per ottenere lo script originale: link
Ci sono anche alcuni programmi di analisi statica limitati che ho trovato, come pestudio (closed source, non ho abbastanza rep per pubblicare più di 2 link), che ti darà alcuni "indicatori" di vari livelli di sospetto su quali cose esegue l'eseguibile. Ad esempio, "Il file modifica il registro", "Il file fa riferimento agli Appunti", "Il file ignora la Randomizzazione dello spazio degli indirizzi", ecc.
Come menzionato in altre risposte, esistono alcune soluzioni di sandboxing / virtualizzazione come sandboxie (fonte chiusa). Anche se ho difficoltà a crederci, dato che è closed source e ha bisogno di installare i driver di sistema e quant'altro. Inoltre, le impostazioni di interfaccia e autorizzazione di accesso non sono eccezionali (sono solo blacklist, piuttosto che block per impostazione predefinita e whitelist, quindi non è possibile limitare i programmi in modo da accedere solo alle directory di cui hanno bisogno).
Lo aggiorno se trovo qualcos'altro.
Leggi altre domande sui tag windows