При переустановке Windows, или переходе на новый компьютер, вас может раздражать, что ваши настройки конфигурации программного обеспечения, будут потеряны. Даже если создаётся резервная копия реестра, нецелесообразно восстанавливать её на новый компьютер, так как большая часть информации в нем зависит от системы, и было бы неуместным для новой машины.
P.P.S. Если у Вас есть вопросы, желание прокомментировать или поделиться опытом, напишите, пожалуйста, в комментариях ниже.
Источник: kompkimi.ru
Продемонстрирована новая техника обхода UAC в Windows 10 через App Paths в реестре
Рекомендуем почитать:
Xakep #282. Атака Базарова
- Содержание выпуска
- Подписка на «Хакер» -60%
Исследователь Мэтт Нельсон (Matt Nelson) уже не в первый раз находит новые пути обхода User Account Control (UAC) в Windows. Так, ранее он предлагал использовать для этого Event Viewer и утилиту Disk Cleanup. При этом методики, предложенные Нельсоном, оценили даже киберпреступники, к примеру, позаимствовав их для работы Remcos RAT и шифровальщика Erebus.
Программы, которые упрощают ваш трейд и фарм. Awakened Poe Trade, Harvest vendor, ExilenceNext,трейд
Теперь Нельсон обнаружил еще один способ обхода UAC, который работает только для Windows 10. По словам исследователя, разработчики Microsoft пытались устранить проблемы, которые позволяли обойти UAC. Хотя большинство таких уязвимостей были успешно исправлены в Windows 10 build 15031, в релизе «представили» и новую проблему.
Нельсон пишет, что корень проблемы заключается в использовании auto-elevation, что дозволяется некоторым доверенным бинарникам. К примеру, Task Manager – это auto-elevation файл, потому как он создан и подписан Microsoft, и запускается из доверенной локации (C:Windowssystem32). То есть при запуске Task Manager окно UAC в любом случае не отображается, невзирая на настройки безопасности.
Исследователь обнаружил проблему в sdclt.exe (утилита Backup and Restore, представленная в Windows 7). Дело в том, что при запуске sdclt.exe, для загрузки страницы настроек Backup and Restore, используется control.exe. И прежде чем запустить control.exe, sdclt.exe обращается к реестру Windows, чтобы получить app path для control.exe, который обычно выглядит так: HKCU:SoftwareMicrosoftWindowsCurrentVersionApp Pathscontrol.exe.
По словам Нельсона, даже пользователь с низкими привилегиями может изменить ключи реестра, включая control.exe. То есть атакующий может покопаться в реестре и указать путь к малвари, а затем использовать sdclt.exe для запуска вредоноса. Так как sdclt.exe использует auto-elevation, Windows поверит приложению, «подавив» UAC.
Специалист пишет, что такой способ сработает только в Windows 10 и тестировался только на Windows 10 build 15031. Proof-of-concept Нельсон опубликовал на GitHub.
КАК ПОКУПАТЬ ДЕШЕВЫЕ КРОССОВКИ НА POIZON ?
Источник: xakep.ru