Permisos de escritura en el registro

Malware, virus y troyanos, intrusiones, análisis de logs, firewalls, etcétera...

Permisos de escritura en el registro

Notapor Círculo Maldito » 09 Mar 2006 15:40

Holaap...

Me gustaría saber cómo denegar/permitir los permisos de escritrua de una clave del registro, pero mediante el registro, precisamente. Es decir... lo que venimos a hacer con el regedt32 y menú seguridad-permisos, pero "a mano", con el regedit. ¿Cuál sería la clave exacta que habría que modificar para denegar o permitir el acceso a un path concreto?

Más claro: quiero crearme, x ejemplo, un .reg o un .vbs que, cuando lo ejecute, deniege los permisos de escritura al HKEY_CURRENT_USER_SOFTWARE y, otro, que lo reestablezca.

¿Alguien sabe, x casualidad, cómo se podría hacer ésto? :roll:

Mil gracias, de antemano, x cualquier respuesta o aportación. Ta luee
Avatar de Usuario
Círculo Maldito
Aficionado
 
Mensajes: 94
Registrado: 08 Mar 2006 22:05

Notapor Guoper » 09 Mar 2006 17:52

Como es sobre la rama HKCU quizás lo más sencillo sea dejar la cuenta de ese usuario en el grupo Usuarios con lo que le impides la instalación de software y le añadas al grupo Administradores cuando se lo quieras permitir.
Si esto te vale puedes hacerlo mediante consola de comandos, incluso en remoto lo que es realmente útil, con las instrucciones:

net localgroup administradores cuenta_usuario /add para dejarlo como administrador
net localgroup administradores cuenta_usuario /delete para quitarle del grupo.

Estas ordenes sólo las puede ejecutar un administrador y el cambio no toma efecto mientras no se reinicie la sesión, algo que por otra parte tambien puedes hacer mediante el comando shutdown
Avatar de Usuario
Guoper
Socio VIP
 
Mensajes: 5284
Registrado: 26 May 2005 22:32
Ubicación: HTTP 404

Notapor Monkey » 09 Mar 2006 17:55

Consigue el REGINI.EXE...
Mono

"... Sometimes the body needs to feel stressed to appreciate the joy..."
Avatar de Usuario
Monkey
Moderador
 
Mensajes: 4793
Registrado: 26 May 2005 20:58

Notapor Círculo Maldito » 09 Mar 2006 18:38

Gouper, es que éso no me vale. Sorry... :oops: la culpa es mía, que no lo he explicado todo. A ver... te cuento la historia y, así de paso, si a alguien se le ocurre otra manera mejor, pues mejor que mejor...

Mi intención es poder llevarme un conjunto de herramientas que no necesitan instalación a cualquier máquina. Damos por sentado que tengo permisos de administrador en esa máquina xq si no, no me vale (tengo que copiar y ejecutar programas, algunos pequeños retoques en el registro, e instalar lirberías). Pero la cosa es que lo que tengo que modificar en el ordenador (y que, luego, sería fácil reestablecerlo todo rápido) es mínimo. Pero, claro, algunos de los progrmas, sólo por el hecho de ser ejecutados, te meten una clave en el HKU-Software (normalmente con los parámetros de la configuración de ese software), pero ésta no es necesaria ni mucho menos, en estos casos, para su correcta ejecución (se puedem borrar, que el programa funciona a la perfección).

El problema es que, luego, tengo que ir borrando esas entradas y, aparte, es engorroso: no podría, x ejemplo, borrar "de cuajo" la clave sysinternals xq esta casa hace varios tipos de programas. Si yo he instalao, x ejemplo, processxp (uno de sus programas)... ¿cómo me las arreglaría para borrarlo, luego? No puedo quitar la clave raíz sysinternals xq la máquina podría tener otro software de esta casa dentro de esa misma clave (y me la cargaría, claro), pero si lo que borro es sólo la entrada de processxp, entonces se queda "colgada" una clave con el nombre de sysinternals, y vacía (si el tío no tiene instalo ningún programa de ellos). En fin que tendría que llenar el script de condicionales comprobando que es lo que tiene y lo que no, todo se complicaría mucho innecesariamente, y sería más lento.

Total... q, para evitar todo ésto, se me había ocurrido crearme un script que se ejecute siempre antes de ejecutar ningún programa, y que más o menos haga...

Deniega permisos de escritura en tal clave-ejecuta programa-permite permisos de escritura de esa clave(o reeestablece los existentes)

Ésto deja la máquina exactaamente =, pero no permite que ningún programa toque el regitro (o lo que yo no quiero que toque, así me ahorro el proceso de borrado). No sé si, más o menos, se me ha entendido. Pero éso es la idea más o menos. Por éso no me valdría el otro método. Tendría que encontrar, en todo caso, la manera de meter mediante comandos al administrador en un grupo al que no se le permita instalar software, pero si tengo que reiniciar.. no me vale :(

Quizás mi método es un poco retorcido. Quizás, no: seguro. Seguro que hay una forma más fácil de hacer ésto, pero a mi no se me ha ocurrido... si a alguien se le ocurre una mejor, bienvenido sea :roll:

Monkey, le echado un vistazo x encima al link y creo que esta herramienta me va a servir mucho. Mil millones de gracias, creo que con ésto puedo hacer lo que pretendía :D Ahora mismo me la bajo y la pruebo. De todas formas, ya digo, si alguien se le ocurre una forma más simple que la postee, x supuesto :idea:

Tíos... 1000 gracias. Me gusta este foro! :D (y sorry si no he contestado antes, salí na más que escribí, y acabo de volver ahora). Muchas gracias, de verdad a todos por las respuestas :wink: Me ayudais mucho

Editado: (x si no se entiende) es un kit con millones de herramientas (la mayoría modificadas, con y sin librerías, plug-ins, etc.), algunas ellas ni siquiera poseen desinstaladores. Es decir, no sirve lo que a uno se le ocurre a bote pronto: "haz un script que ejecute los desintaladores en batería" (aparte, tendría que simular el apretado de los botones pertienentes: aceptar, cancelar...)
Avatar de Usuario
Círculo Maldito
Aficionado
 
Mensajes: 94
Registrado: 08 Mar 2006 22:05

Notapor Nixom » 09 Mar 2006 19:00

Saludos


Lo que deceas hacer se puede usar dentro de una vulnerabilidad del windows

enlace de relacion.
Código: Seleccionar todo
http://www.winguides.com/registry/display.php/190/


Mono ese ejecutable si funciona :lol:
4ea0f075ca612d21558d682dc74a2466
Avatar de Usuario
Nixom
Residente
 
Mensajes: 1975
Registrado: 27 May 2005 16:07

Notapor Guoper » 09 Mar 2006 19:04

Prueba con el regini; pero entonces tienes que estar completamente seguro de que la ejecución del programa solo toca la parte del registro que estas protegiendo y además comprobar que el programa puede ejecutarse impidiéndole escribir en el registro.

Si alguna de esas condiciones no se cumple puedes considerar otras alternativas como:
- Realizar un punto de restauración antes de la ejecución del programa y restaurar el equipo despues. El inconveniente es que no puede ser automatizado en un script.
- Exportar la clave de registro, ejecutar el programa, borrar la clave de registro e importar la copia guardada. Esto si se puede hacer mediante linea de comando pero habría que hacer alguna prueba previa para comprobar que efectivamente el registro queda intacto
- Hacer una copia previa del registro con EruNT y luego restaurarla. De largo es la alternativa más segura pero implica la instalación de un programa adicional

Ya nos comentaras como te fue.
Avatar de Usuario
Guoper
Socio VIP
 
Mensajes: 5284
Registrado: 26 May 2005 22:32
Ubicación: HTTP 404

Notapor Círculo Maldito » 09 Mar 2006 19:59

Guaaa... toy flipando... ésto más que un foro, parece un chat. Joe, que rapidez contestando... que bien :D

Nixom, CREO que éso es otra cosa diferente, y no es un bug. Es para permitir/denegar el uso de la herramieta regedit, no para crear permisos. Podría, de hecho, volver a usar el regedit - si estoy equivocado, que me corrijan - con la ejecución de un simple .reg, que reestablezca esos valores. Me parece.

Guoper...

- Exportar la clave de registro, ejecutar el programa, borrar la clave de registro e importar la copia guardada. Esto si se puede hacer mediante linea de comando pero habría que hacer alguna prueba previa para comprobar que efectivamente el registro queda intacto


Ésta es la que venía haciendo hasta ahora, pero tenía una carpeta de Backups con demasiadas entradas. No sé, no me convenció. Ojalá me las pueda arreglar con el regini. Sería una forma mucho más limpia. Acabo de enterarme que lo tengo en mi carpeta de sistema y ni lo sabía jeje :oops:

Y al EruNT ya le echaré una ojeada tb :wink: A ver si encuentro el mejor métdo. He encontrado esta página:

http://www.microsoft.com/latam/technet/ ... efault.asp

En cuanto empecé a leer a partir de "Kit de herramientas de automatización" (expresión que, por cierto, voy a meter ahora mismito en Google a ver que me encuentro), se me empezó a caer la baba... etto es como una juguetería!... :lol: ni me sonaba el SysDiff... y yo todavía usando el prehistóico fc!! guaa... tengo que leer ésto más detenidamente.

Weno... si encuentro más info relacionada, la postearé y, x supuesto, ya comentaré como lo hago al final, a ver como me sale. Ta lueee... un fuerte saludoo
Avatar de Usuario
Círculo Maldito
Aficionado
 
Mensajes: 94
Registrado: 08 Mar 2006 22:05

Notapor Nixom » 09 Mar 2006 20:34

Círculo Maldito escribió:Guaaa... toy flipando... ésto más que un foro, parece un chat. Joe, que rapidez contestando... que bien :D

Nixom, CREO que éso es otra cosa diferente, y no es un bug. Es para permitir/denegar el uso de la herramieta regedit, no para crear permisos. Podría, de hecho, volver a usar el regedit - si estoy equivocado, que me corrijan - con la ejecución de un simple .reg, que reestablezca esos valores. Me parece.



{1}Prueba y me dices......
4ea0f075ca612d21558d682dc74a2466
Avatar de Usuario
Nixom
Residente
 
Mensajes: 1975
Registrado: 27 May 2005 16:07

Notapor Círculo Maldito » 09 Mar 2006 21:04

jejje... no me atrevo :D Si tú me lo dice, me lo creo.

Pero, entonces... qué es lo que se supone que hace? ¿Te impide la escritura del registro?? en qué parte??... ¿en todo??? Es que el 90% de los programas del sistema tocan el registro. Si fuese así, te dejaría de funcionar el sistema... es más: tampoco podrías, en teoría, reestablecerlo de ninguna manera, ya q tienes denegado el permiso de escritura y, para cambiarlo, tienes que escribir en el mismo. No entiendo :?

Preferiría que me lo explicases, antes q jugarme mi sistema :lol:
Avatar de Usuario
Círculo Maldito
Aficionado
 
Mensajes: 94
Registrado: 08 Mar 2006 22:05

Notapor Guoper » 09 Mar 2006 21:18

Ese tip bloquea el registro y solo podrías volver a habilitarlo ejecutando un fichero .reg que contenga la rama del registro con el valor de DisableRegistryTools a cero
Código: Seleccionar todo
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000000
Última edición por Guoper el 09 Mar 2006 21:22, editado 1 vez en total
Avatar de Usuario
Guoper
Socio VIP
 
Mensajes: 5284
Registrado: 26 May 2005 22:32
Ubicación: HTTP 404

Notapor Nixom » 09 Mar 2006 21:21

Ok perfecto ya tu mismo lo explicastes

Guoper te da la medicina para curarlo....

perdona que te hablo asi de prisa, es que estoy rush aqui en el trabajo...
4ea0f075ca612d21558d682dc74a2466
Avatar de Usuario
Nixom
Residente
 
Mensajes: 1975
Registrado: 27 May 2005 16:07

Notapor Círculo Maldito » 10 Mar 2006 19:19

Hola, de nuevo...

Efectivamente, ésa es la clave que había leído que tenías que meter. Pero bueno, da igual, xq con éso no puedo hacer lo que quería :roll:

Ahora he encontrado ésto:

http://support.microsoft.com/?kbid=245031

Es, más o menos, lo que posteó Monkey pero detallándotelo un poquito más, y en español... y weno, ya he conseguido hacerlo funcionar y es, además, mu facilito. Pones en un .txt, por ejemplo...

Código: Seleccionar todo
HKEY_CURRENT_USER\Software [2]


... y lo llamas lectura

Creas otro con...

Código: Seleccionar todo
HKEY_CURRENT_USER\Software [1]


... y lo llamas total

Y ahora, para que sólo se pueda leer de ese path (estando logeado como administrador) haces, desde dos:

Código: Seleccionar todo
regini lectura.txt


Para reestablecer control total:

Código: Seleccionar todo
regini total.txt


Y ya tá. Funciona mu bien. Sin embargo... sigue sin satisfacerme del todo... no sé... quizás pruebe, ahora, con el runAs, a ver que tal (desde luego toy aprendiendo un montón de cositas :D ); así podría denegarle el permiso de escritura en el registro, pero sólo a esos archivos concretos, no? Estaría mejor q cambiar los permios de tol registro... pero bueno, tampoco es demsiado importante para mi. Con ésto me conformo. Prefiero, desde luego, lo del regini a restaurar el registro y tal, xq si se han producido modificaciones tras los backups, a la hora de restarurarlo se perderán éstas, así es que como que no.

Pero lo que me interesa muchísimo, ahora, es saber una cosilla... me gustaría poder hacer lo siguiente y no sé si existe software específico para hacerlo o, incluso, si es posible hacerlo o no por medio de programación. Pero a ver...

Lo que quiero es poder "redirigir" las lecturas (y escrituras) q cualquier programa pueda hacer en el registro, hacia donde yo quiera :roll: Pensaba, más que nada, en archivos ini. Ésto, obviamente, lo puede hacer cualquier programador cuando está haciendo su programa. Es una opción más que tiene: si tirar del registro, o de archivos ini. Pero lo que yo querría es - una vez que ya ha sido creado (y la opción elegida ha sido la del registro) -, ¿podría algún programilla "convertirlo" para que funcione con inis, en vez de con el registro de windows??

Hace poco compacté, con el Molebox, un archivo .ini del que tiraba un programa (y en el que estban sus opciones de configuración) con el ejecutable del mismo programa. El resultado fue "satisfactorio". Es decir, como resultado me quedó un simple exe que se abría con las opciones configuradas en ese ini, en vez de las que, originalmente, el sofwtare poseía por defecto. Claro que si intentabas cambiar éstas, te lanzaba un error. Pero funcionaba. Y me preguntaba si se podría hacer algo parecido, pero con algún .reg, de manera que "incrustásemos" esa información y esos datos dentro del propio programa, y conseguir, así, que no toque el registro en absoluto. ¿Se puede hacer ésto? No sé si me he explicado más o menos.

Con los poquitos conocimientos que tengo de programación no sé si es posible. Sé que se puede monitorear el registro con un simple script, pero me parece que no es posible averiguar que programas están produciendo esos cambios en el registro. Pero no sé... podría ejecutarse como un proceso y que lo monitoreáramos y... ¿redirigir todas las peticiones que haga al registro... hacia un fichero ini? Quizá pido demasiado, pero estaría muy muy muuuy bien. Si nadie conoce ningún programa parecido podría, al menos, decir si, con programación, sería posible hacer ésto "en el aire"?, ¿o sería necesaria la modificación previa del programa en sí? Y si no se puede hacer "en el aire"... algún programa para editar programas, sin tener que desensamblarlos? (q no requiera ser crackeador: no tengo ni papa de ensamblador), algo así como el resourceHacker, pero a lo bestia (éste es muy limitado y no me permite hacer estas cosas). Weno, bienvenida sea cualquier respuesta... y muchas gracias a todoss...

Un saludazoo (sorry x lo extenso)
Avatar de Usuario
Círculo Maldito
Aficionado
 
Mensajes: 94
Registrado: 08 Mar 2006 22:05

Notapor Nixom » 10 Mar 2006 19:27

¿por que no te lees como es la estructura del registro de windows?

Aprenbderas cosas que ya sabes y cosas que jamas te imajinas....

busca... la estructura y funcionamiento del registro de windows....
4ea0f075ca612d21558d682dc74a2466
Avatar de Usuario
Nixom
Residente
 
Mensajes: 1975
Registrado: 27 May 2005 16:07

Notapor Círculo Maldito » 10 Mar 2006 19:42

:shock: Pero si me he leído todos los que hay en la red, creo yo... Pero en niguno he obtenido respuesta a mis preguntas :oops: todos repiten prácticamente lo mismo: su estructura, a que corresponden cada cosa... (copiar y pegar, vamos) poco más.

Si conoces alguno bueno... estaría encantaísimo en q lo posteraras, para poder leerlo. Me encantaría aprender "cosas que jamas te imajinas" xq mira q tengo imaginassión :lol:
Avatar de Usuario
Círculo Maldito
Aficionado
 
Mensajes: 94
Registrado: 08 Mar 2006 22:05

Notapor Nixom » 10 Mar 2006 20:22

perfecto.... no hay problema


Si ni cosas que ni te imaginas....

No has encontrado respuestas por que nOsotros no sabesmos a ciencia cierta lo que verdaderamente deceas.... por mi parte tengo una idea....


y no has leido todos los que hay en la red

Lees ingles?

:mrgreen: :mrgreen: :mrgreen: :mrgreen:
4ea0f075ca612d21558d682dc74a2466
Avatar de Usuario
Nixom
Residente
 
Mensajes: 1975
Registrado: 27 May 2005 16:07

Siguiente

Volver a Seguridad

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 1 invitado