Einzelnen Beitrag anzeigen

xbkbk

Registriert seit: 9. Jul 2012
Ort: 37083 Göttingen
61 Beiträge
 
Delphi 10.4 Sydney
 
#3

AW: Softwareidee für Antivirenergänzung [Lösungsansätze gesucht]

  Alt 29. Mär 2016, 00:46
Zunächst danke für die schnelle Antwort.
Da ich mich auf diesem Gebiet noch nicht bewegt habe und das ganze überwiegend dazu dienen soll, die üblichen Ich_installiere_dir_mal_noch_alles_an_Müll_was_ich _so_finde und Ich_installiere_mich_an_unübliche_Orte_und_habe_ke ine_Deinstallationsroutine Programme etwas zu entkräften, möchte ich mal erfragen, ob es üblich ist, dass diese Programme Hooks bemerken und sich dagegen wehren. Wenn nicht wäre der ring0 Kernelmode Hook das, was ich ausprobieren würde.
Dass dieser nicht ohne Weiteres implementiert werden kann, legt nahe, dass es eben doch irgendwie möglich ist.
Da du dich da auskennst frage ich einfach mal, um mir die Recherche zu ersparen, ob es ein vertretbarer Mehraufwand beim Nutzen des fertigen Programmes ist und / oder nur die Programmierung weit aufwändiger ist?

Da Hooks allgemein offensichtlich recht einfach umgangen werden können, stellt sich mir die Frage, ob es überhaupt möglich ist, das, was ich vor habe, so umzusetzen, dass es nicht umgangen werden kann.








Das Problem ist ja unter Windows, dass so gut wie jedes Programm Adminrechte bekommt, wenn es will und der Endnutzer das auch nicht ungewöhnlich finden muss, da jede Installationsroutine Adminrechte braucht, dann aber auch alles tun kann, was sie will. Sinnvoll wäre es, dass man nur Adminrechte für eine spezifische Handlung einfordert (wie bei Linux die root-Abfrage)

Die Umsetzung eines solchen Unterfangens stelle ich mir realisierbar vor, glaube aber, dass der Aufwand sich kaum lohnen würde:
Ich glaube, dass man dem Admin bzw. der Admingruppe sämtliche Rechte entziehen kann, einen Ersatzadmin erstellt (der mit der Admingruppe nichts zu tun hat), nennen wir ihn Rolf und bei jeder Adminhandlung (Zugriff auf C:\Windows oder regedit zum Beispiel) sagt Windows "nö!"
Um das ganze doch tun zu können, könnte man dann die Andwendung nicht als Admin, sondern als Rolf ausführen und innerhalb dieses Rolfkontos könnte das ganze ring3 oder ring0 gehookt werden, da der Hook (meines Wissens) nur als Admin (der dann ja nichts mehr zu melden hat) umgangen werden kann, was aber als Rolf auch nicht drin ist, da Rolf das auch untersagt wird.

Ist das so überhaupt umsetzbar und wenn ja, ist es dann auch realistisch, dass das praktische Anwendung finden könnte?
(Die Rolflösung müsste natürlich auch von der Software eingerichtet werden, da das keinem normalen Nutzer zuzumuten ist)
Felix
  Mit Zitat antworten Zitat