sentiniate@xxxxxxxxx sentiniate@xxxxxxxxx XXXXXXXXXXXXXXXXXXXX wrote:
Nelle pagine in questione non si parla di indentita` dell'utente
che becca ed esegue il virus e, come su tutte quelle che ho letto
sull'argomento, sembra che implicitamente si ipotizzi che ad eseguirlo
sia un utente con privilegi piuttosto alti.
Infatti, dovrei fare una prova (che sarebbe anche rischiosa:
se riesco a far saltare ntoskrnl.exe poi rischio di non riuscire
a recuperare...), ma credo che a un utente comune non sia consentito
di modificare ntoskrnl.exe
Hmmm ... l'ultima volta che ho guardato era "Everyone, Full Control" ma
non si trattava di una installazione da zero. Conferme o smentite ?
Di per certo, i permessi su .dll e directory sotto Windows NT non si
possono restringere più di tanto - il motivo risiede in applicazioni
come p.es. Office il cui setup ne sovrascrive.
D'altra parte, a un "Utente standard" e` consentito di andare
a scrivere un po' ovunque, ad esempio in \ , \winnt e \wintt\system32
Quindi, se un utente standard becca 'sto virus, puo` andare a mettere
l'agente dannoso proprio in tali directory e magari in altre directory
di sistema.
[cut]
Insomma, su Unix il root puo` escludere che tra i file nelle directory
di sistema ce ne sia uno che ci ha messo un utente (a meno di buchi
di sicurezza), anche perche', se ad esempio un utente riesce a scrivere
in /etc/init.d , mi ci schiaffa un bello script di avvio del servizio
che piu` gli piace, dopodiche' il sistema me lo manda a carte 48
come piu` gli aggrada.
Vero dato che tali script sono eseguiti da uid 0 al boot.
[cut]
Davide Bolcioni
--
There is no place like /home.
|