SRng的扫描权限问题
SREng扫描驱动或服务,会读取HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下的键值,这项默认注册表权限是administrators组完全控制,users仅有读取权限的,因此sreng即使是以基本用户安全级别运行,依然可以才创建其核心进程SRE***.EXE正常运行,正常扫描。
现在把services项下的某个服务项,这里以july为例,将其重设权限:
附件:
您所在的用户组无法下载或查看附件仅保留system组队其完全控制,这样我们是无法查看其具体信息的(不借助R0层工具),看:
附件:
您所在的用户组无法下载或查看附件右边窗口显示空白,可以看出吧。。。
但是sreng仍然能扫描到:
附件:
您所在的用户组无法下载或查看附件能看到其具体信息。。。
现在将july项权限设置为:
附件:
您所在的用户组无法下载或查看附件不允许system组对其读取,sreng扫描结果:
附件:
您所在的用户组无法下载或查看附件显示拒绝访问。。。
那sreng到底是不是提升自身权限到system呢?
sreng的主程序SREngldr.exe并没有比普通进程(explorer.exe执行的)的特权多。。。
srengldr.exe的权限:
附件:
您所在的用户组无法下载或查看附件任何一个普通用户进程都可以对其完全控制,哪怕是以受限身份运行的进程都可以结束它,因为受限的隶属于Backway这个特殊组,也拥有这个组的全部权限。
再看下sreng的核心进程sre***.exe:
附件:
您所在的用户组无法下载或查看附件其组有变化了~
Backway(创建的登录用户的特殊组)不变,多出来个everyone,
将几个权限标为拒绝:Terminate、Create thread write memory suspend/resume
附件:
您所在的用户组无法下载或查看附件但一般的进程(以不受限的身份运行)(比如一款普通进程管理工具)依旧可以对其操作(这里面不涉及到拒绝优先的问题?)
但以基本用户令牌启动的进程,对其操作显示:
附件:
您所在的用户组无法下载或查看附件这时侯起作用了?(以基用户方式启动的进程是不属于Backway这个“组”还是因为拒绝权优先才生效的?)
用其他服务扫描工具(R3的),对于某个服务项设置为system权限(包括完全控制),都不能扫描到这个服务的。。。
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2; CIBA; .NET CLR 2.0.50727; MAXTHON 2.0)
