Конференция VBStreets

[Ramzes]

Всем привет, вот у меня в академии "злой" админ, сделал так что когда подключашь к проекту MSWINSOCK.ocx То рабочая среда тупо вырубаеться, без всяких вопросов и т.д., как он это сделал, и как с этим бороться, мне он просто по зарез нужен

[v-adix]

ещё по теме вопрос: как зарегистрировать ocx компонент когда работаешь с limited account в xp?

[tyomitch]

ещё по теме вопрос: как зарегистрировать ocx компонент когда работаешь с limited account в xp?

Думаю, никак :-/

[seelts]

Ramzes, может злой админ просто заменил winsock.dll?

[xenomorph]

Я У меня некоторый _положительный опыт .

1. Кодь прогу и ничего не регистрируй .
2. Положи _рядом_ сам ОСХ.
3. Проверь права доступа на файл проги и ОСХ.
(должно быть право на чтение и запуск - закладка безопасность) - если она закрыта - то править доступы надо через:
а) КОМ строку - DACL\ACL
б) програмно на Васике.
--
Это всё для НТФС ФС .

Вообщето надо право на запуск в моём случае его не было . Спас calc.exe .

Удачи!
--
=Х=

[alibek]

xenomorph, а в курсе, что есть инструменты, которые проверяют запускаемые .exe не только по имени, но и по контрольной сумме? Там calc.exe не спасет.

[Ramzes]

А модет ли бить такое что он что-то в реестре прописал???

[alibek]

Может. Но скорее он что-то прописал в файловых разрешениях.

[Ramzes]

Ну и как мне теперь с этим бороться(задумался), может...(передумал)

[alibek]

Если админ что-то изменил в реестре, то он разумеется сделал так, чтобы отменить эти изменения мог только админ. Так что с этим бороться никак нельзя. Надо либо смириться, либо заправлять админа пивом

[Ramzes]

Гмммм...Интересно как это сделать так чтобы никто больше не смог изменить???
Может: DisableRegistryTools:dWord = 1 , а на что нам дано API + VB..
Вуаля, и значение параметра = 0 т.е. Реестр копошить мона

[alibek]

Правда что-ли?
А ты знаешь, что на каждый раздел реестра можно поставить разрешения? И тогда без разницы, regedit или твоя прога будет получать ошибку 5.

[Ramzes]

Но у нас такого нет Хоть и админ не тупой вроде Я уже практически всю защиту со своего компа снял, а вот Winsock ...просто даже понятия не имею где это может быть...

[alibek]

Может быть что угодно.
Но скорее всего админ поставил запрет на чтение этого файла (winsock.ocx) либо подкорректировал реестр так, чтобы этот компонент не мог зарегистрироваться.

[Ramzes]

А если я его переименую и скину в свою папку?

[alibek]

Попробуй. Но если он заблокировал реестр, то это ничего не даст.

[Ramzes]

А что делать если действительно вреестре где-то это есть? И вообще где в реестре это может быть?

[alibek]

Я же говорю, что угодно.
Например, он мог заблокировать чтение раздела
HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
или
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}

[Ramzes]

Нет эти разделы не заблокированы

(почти плачет, очень злой, готов убить злого админа) Ну что мне делать??? Как мне подключить Winsock

Увижу эту падлу... (пропущено несколько слов, в основном матерных) ... Без Winsocka програмироование для меня не мило

[seelts]

у меня есть другая идея:
*%& с ним с винсоком. в инете наверняка есть куча других средств для работы с сетью.

[xenomorph]

np.: Quantum Singularity NFS Soundtrack

- 8] У меня патолагическая любовь к админам ...
- жареным, вареным и под соусом )))

1. В вин 2wk / ХР обычно юзаеться следующая
комплексная схема защитки -
т.н. "белый список" - проги к. могут запускаться .
(реестра) остальным _типа_ НИЗЯ .
+ вторая половина защиты - это установка НТФС прав доступа ...

Н.Б. (реестр кроется не то что к изменению - а и к доступу
(хотя проверять надо - это не факт что у каждого админа
мозгов хватит прописать не просто локинг regedit-a, а и
изменение прав на ветки ...

- берём левый регедит \ Васик и смотрим ...

И то и то создаёт иллюзию защиты ...

1. "белый список" - это как правило не абсолютные пути, а имена прог .
моя_прога.exe => calc.exe имеет ввиду "белый список" ,

я правда, обламался было с телепортом - он кричит что его файл
изменили . Так вот - в таких случаях - нада запускать ком. интерпретатор
а из него всё остальное .

Н.Б. фактически если запущена какая-либо прога - то у неё на 98% есть право
на запуск дочерних процессов ... что интересно - права тек. юзера versus
уровень допуска запуска на файле не проверяеться [проверено опытом]
в итоге - если запущен интерпретатор - даже если прямо проги не ранились
то теперь они чехать хотели на допуски (ессесно если они не прямо запрещены ...)
хотя проверю как нить ...

так вот - достаточно среспаунить cmd.exe . А остальное будет ))

Так вот э ... о чём это я

>>> xenomorph, а в курсе, что есть инструменты, которые проверяют
>>> запускаемые .exe не только по имени, но и по контрольной сумме?
>>> Там calc.exe не спасет.

Да? вот блин ... (и это в каждой винде по-дефолту таких пять штюк? )))

Ну ... мы и не таких ёжиков голым задом пугали *)

- Уважаемый Alibek про баги в Эксплорере слышал?
Лечиться так - заброска подобного шелл (с выполнением ессесно) кода в сплорер:
WinExec(cmd.exe, ... и ловим шелл ...

Баги юзать можно во всём что раниться ...

Это рас - вариант два - попроще - просто поискать *)

... как раз по-за вчера наткнулся на подобное извращение
( всегда спасал анализ ))

> суппер навороченая защита - драйвер для контроля за CreateProcess и OpenProcess
перехват ... (кстати - покруче Вашего примерчика вариантик будет ...
Я уже было расстроился когда ... увидил винкоммандер

Ну и что?

> в системе прописан в белом листе по контр. сумме + абс. путь винкоммандер

--

А вот что -> Command -> Run DOS + смотри поинт о наследовании прав запуска ...

И таких ляпов - сплошь и рядом - Word, Хелп, Аксесс ...

Иногда наивные админв юзерам блокируют cmd.exe на запуск и чтение
- Приносим свой! (благо дома F5 на флоппик

Как лечить файловые разрешения? (это иногда возможно [зависит от степени кривости рук
админа]
- обеспечиваем себе права на запуск:
- копируем файл на РСтол
- свойства - безопасность - разрешения - юзер - сменить владельца - полный доступ ...

Этот финт ушами кое что даёт ... иногда много ...

1. При копировании\создании файла Ты становишся его владельцем - даже если админ
( что прикольно - в принципе переименовка должна давать тот же эффект ... прикол в том что не даёт
прописал автоперераспределение доступа после копирования - он в таком состоянии не раниться ...
но ! если ещй слазить поменять доступ на полный (а можно - т .к. ты его владелец\создатель то
всё прокатывает на ура .

(если доступы ставит профи - такие лохи как я отдыхают ...
з.ы. жаль я ещё на таких не натыкался

> Если админ что-то изменил в реестре, то он разумеется сделал так, чтобы отменить эти
> изменения мог только админ.

Аксиома Номер 1:
1) так думает каждый админ

>> Так что с этим бороться никак нельзя.

Аксиома Номер 2:
2) так _хочет_ думать каждый админ ))

Аксиома Номер 3:
3) ИМЕННО ТАК он хочет заставить думать каждого )))))

Аксиома Номер 4:
4) Админы склонны выдавать желаемое за действительное )))

Аксиома Номер 5:
5) Админы очень часто путают понятия "Нельзя" и "Невозможно"

>> Если админ что-то изменил в реестре, то он разумеется сделал так,
>> чтобы отменить эти изменения мог только админ.

Аксиома Номер 6:
6) Не из всех утверждений следует правильный вывод ))))

>> Надо либо смириться, либо заправлять админа пивом

Вот сорс *):

'========== покусано ===========
Dim lox_Admin As Lox
Dim litr_Piva As Pivo

Public Enum pen_Ushastost
Visokaya_Ushastost = 0
Srednyaya_Ushastiost = 1
Ruki_Otkuda_nado = 2
Alibeki_Vsyakie_Rasnie = 3
End Enum

Dim Ushastost As pen_Ushastost

Public Sub Main()

Select Case lox_Admin.Ushastost

Case Is <= Visokaya_Ushastost

litr_Pivo = 0
lox_Admin = const_Fig_Emu_Pivo

Case Is <= Srednyaya_Ushastiost

If Me.Ruki <> Krivie And Me.Mozgi = Na_Meste Then

lox_Admin = Lox And Admin.Pivo = Oboydyotsa_bez_Piva

Else

lox_Admin.Pivo = Me.Pivo
Me.Pivo = 0 ' 8((((( Что не есть гуд!

End If

Case Is <= Alibeki_Vsyakie_Rasnie

' Sorry - я задолбался чепятать Творчество!

Operaziya_Purgen:

Temp.Pivo = Me.Pivo + Purgen ' 8].

Do While lox_Admin <> In_WC

Temp.Pivo = Me.Pivo + Purgen
lox_Admin.Pivo = Me.Pivo

Loop

If lox_Admin.Position >= WC Then

Call Delay_Vsyo_Cho_Hotish

Else

Goto Operaziya_Purgen

End If

Else

End If
End Sub

'========== покусано ===========

Это всё прикол - без обид?
--
=Х=

[Dzhon]

Рамзес, а в какой локальной группе твоя учетка?

[alibek]

xenomorph, ты просто не натыкался на админов-параноиков.

Опиши свои действия в следующем случае:

1. Отключены (физически) флопы, CD-приводы и USB.
2. Корпус заперт на замок (электромагнитный замок внутри корпуса, управляется из BIOS и специальным софтом).
3. Скрыты жесткие диски. Это применимо только к Windows Explorer, но других средств нет (ни FAR, ни NC, ни даже PROGMAN).
4. Заблокирован рабочий стол (на нем не работает правая кнопка мышки, отключены значки); все программы запускаются только через меню "Пуск" (в котором скрыты пункты Run, Settings и другие, ненужные пользователям), только те значки, которые вывел админ.
5. Исправлены файловые разрешения на нормальные (а не дефолтовые, которые позволяют простому юзеру копаться в папке WINDOWS).
6. Локальных пользователей нет.
7. Все профили пользователей перемещаемые, отключено кэширование, при недоступности профиля залогиниться невозможно.
8. Заблокированы все контекстные меню шелла.
9. Заблокирован запуск cmd.exe пользователем.
10. Что-то еще, не помню уже.

[Ramzes]

Гость

Но есть и хорошая сторорона

А могу запускать (теперь уже точно) все что угодно (А Winsock немогу ), есть CMD и прочие фенички... Но мне все равно нужен Winsock

Код: Выделить всё

If admin + ja = vstrecha Then
Do While admin.pravo_dostupa=otdam ':)
me.udar_nogoy
me.Udar_rukoy
loop
end if

[Ramzes]

xenomorph, ты просто не натыкался на админов-параноиков.

Опиши свои действия в следующем случае:

1. Отключены (физически) флопы, CD-приводы и USB.
2. Корпус заперт на замок (электромагнитный замок внутри корпуса, управляется из BIOS и специальным софтом).
3. Скрыты жесткие диски. Это применимо только к Windows Explorer, но других средств нет (ни FAR, ни NC, ни даже PROGMAN).
4. Заблокирован рабочий стол (на нем не работает правая кнопка мышки, отключены значки); все программы запускаются только через меню "Пуск" (в котором скрыты пункты Run, Settings и другие, ненужные пользователям), только те значки, которые вывел админ.
5. Исправлены файловые разрешения на нормальные (а не дефолтовые, которые позволяют простому юзеру копаться в папке WINDOWS).
6. Локальных пользователей нет.
7. Все профили пользователей перемещаемые, отключено кэширование, при недоступности профиля залогиниться невозможно.
8. Заблокированы все контекстные меню шелла.
9. Заблокирован запуск cmd.exe пользователем.
10. Что-то еще, не помню уже.

Я сам такой...У меня на работе фиг локально комп зарубишь, да и кому это надо ??? Я им одну прогу поставил в какой они должни работать и все...

[xenomorph]

>> Опиши свои действия в следующем случае:

Сколько заплатишь? ))

>> 1. Отключены (физически) флопы, CD-приводы и USB.
>> 2. Корпус заперт на замок (электромагнитный замок внутри корпуса, управляется из BIOS и специальным софтом).
>> 3. Скрыты жесткие диски. Это применимо только к Windows Explorer, но других средств нет (ни FAR, ни NC, ни даже PROGMAN).
>> 4. Заблокирован рабочий стол (на нем не работает правая кнопка мышки, отключены значки); все программы запускаются только через меню "Пуск" (в котором скрыты пункты Run, Settings и другие, ненужные пользователям), только те значки, которые вывел админ.
>> 5. Исправлены файловые разрешения на нормальные (а не дефолтовые, которые позволяют простому юзеру копаться в папке WINDOWS).
>> 6. Локальных пользователей нет.
>> 7. Все профили пользователей перемещаемые, отключено кэширование, при недоступности профиля залогиниться невозможно.
>> 8. Заблокированы все контекстные меню шелла.
>> 9. Заблокирован запуск cmd.exe пользователем.
>> 10. Что-то еще, не помню уже.

А около компа, случаем, отряда ОМОНА нету? ФСБ\СБУ\ФБР ?
И злого-презлого админа сзади ))? С огроооомной дубиной?

Есть же некоторый предел (нет розетки \ комп в сейфе ...)
- и в конце концов за него должны _пускать_

))

'Исхожу из того, что всё остальное разрешено )).

1. DcomRPC \ 139 + доступ по сети без фаерволинга = root
2. LSAS \ 445 + доступ по сети без фаерволинга = root
3. Оба, но локально под фаером высокого уровня - катят на ура. = root
3. DebPloit + возможность запуска. = root
4. Shatter Tech + возможность запуска. = root
*)

"А у меня все патчи новые "! - дружно кричат админы
Практика показывает обратное

Аксиомы пушистой работы:

1. Надо что бы была возможность заливать инфо ... *Почта\флоппик\диск
при чём и сливать тоже . (а смысл если низя?) )) (через инет - лучший вариант

2. Должна быть возможность чепятать по клаве, чтоб админ не втыкал в икран .

3. Должна быть возможность запускать программы.
(хотя б 4-6 разркшённых)

4. Неограниченое время .
--

... Цитата одного умного человека:

... Кол-во известых уязвимостей в определённой ОС исчисляеться еденицами,
их кол-во возрастает до десятков - при рассмотрении конкретной задачи и методов, и на
уровне конкретной програмно-аппаратной реализации - сотнями. ...

2 Alibek: Если в том варианте защиты что Вы привели был инет
то добавте по файеру на тачку, + все заплаты от сплойтов .
И я всё равно не поставлю 5 баксов на такую защиту .

[alibek]

Инета не было
Соединение локальной сети с глобальной сетью каскадное - аппаратный файрвол (PIX) + программный файрвол + прокси, причем по принципу "все запрещено".
Ну и еще кое что есть.

Насчет предыдущих пунктов.
1. Увы, с этим облом.
2. Админ не подсматривает.
3. Такие проги есть.
4. Время неограничено до 6 часов

[Dzhon]

xenomorph, ты просто не натыкался на админов-параноиков.

Опиши свои действия в следующем случае:

1. Отключены (физически) флопы, CD-приводы и USB.
2. Корпус заперт на замок (электромагнитный замок внутри корпуса, управляется из BIOS и специальным софтом).
3. Скрыты жесткие диски. Это применимо только к Windows Explorer, но других средств нет (ни FAR, ни NC, ни даже PROGMAN).
4. Заблокирован рабочий стол (на нем не работает правая кнопка мышки, отключены значки); все программы запускаются только через меню "Пуск" (в котором скрыты пункты Run, Settings и другие, ненужные пользователям), только те значки, которые вывел админ.
5. Исправлены файловые разрешения на нормальные (а не дефолтовые, которые позволяют простому юзеру копаться в папке WINDOWS).
6. Локальных пользователей нет.
7. Все профили пользователей перемещаемые, отключено кэширование, при недоступности профиля залогиниться невозможно.
8. Заблокированы все контекстные меню шелла.
9. Заблокирован запуск cmd.exe пользователем.
10. Что-то еще, не помню уже.

11. Запрещены средства управления реестром.


Рамзес!
У меня была такая проблема правда с другим компанентом и решилась она переводом учетки в опытного пользователя, OU в домене при этом менять не приходится.

[seelts]

я наверно чего то не понял, но где здесь винсок или хотябы вижуал васька?

[Ramzes]

Все очень просто:
У нас как на порядочном форуме сначала была тема и ее обсуждение, а потом много флуда. Гы