safezone.cc - Как отличить скрытую учётную запись службы от обычной?

В работе - Как отличить скрытую учётную запись службы от обычной? | Форум по информационной безопасности

Safezone.cc Spined HTML

В работе - Как отличить скрытую учётную запись службы от обычной? | Форум по информационной безопасности Меню Форумы Новые сообщения Поиск сообщений Что нового? Новые сообщения Новые ресурсы Последняя активность Ресурсы Последние рецензии Поиск ресурсов Помощь форуму Блоги Вход Регистрация Что нового? Поиск Поиск Везде Темы Этот форум Эта тема Искать только в заголовках От: Поиск Расширенный поиск... Новые сообщения Поиск сообщений Меню Вход Регистрация Администрация SafeZone приветствует вас на нашем форуме! Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается. Форумы Операционные системы Реестр Microsoft Windows JavaScript отключён. Чтобы полноценно использовать наш сайт, включите JavaScript в своём браузере. В работе Как отличить скрытую учётную запись службы от обычной? Автор темы Dragokas Дата начала Суббота в 18:29 Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков Суббота в 18:29 #1 Сообщения 5,834 Симпатии 5,698 Суббота в 18:29 #1 Здравствуйте! Бывают такие учётные записи, создаваемые службами, например, UpdatusUser (от NVIDIA), всякие MSSQL, MsDtsServer, Acronis Agent User. Они по умолчанию скрыты, т.е. в них нельзя войти через меню выбора пользователей. Как с помощью реестра идентифицировать такие учётки, понять какие из них созданы сторонними службами?   Симпатии: Это понравилось Кирилл Кирилл Команда форума Администратор Суббота в 19:13 #2 Сообщения 13,489 Симпатии 5,981 Суббота в 19:13 #2 Dragokas написал(а): Как с помощью реестра идентифицировать такие учётки, понять какие из них созданы сторонними службами? Нажмите для раскрытия... @Dragokas, надо уточнить все имеющиеся учетные записи и вычленить из них те, что принадлежат юзерам, или задача изначально просто получить перечень реальных учетных записей пользователей?   Симпатии: Это понравилось machito Кирилл Команда форума Администратор Суббота в 20:15 #3 Сообщения 13,489 Симпатии 5,981 Суббота в 20:15 #3 В общем. На Windows 8-10 есть раздел Код: HKEY_USERS\.DEFAULT\Software\Microsoft\IdentityCRL\StoredIdentities Там перечень аккаунтов MS - то есть их электронная почта. Так же на всех системах (на ХР не знаю, надо проверить) есть раздел Код: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList Где есть перечень профилей учетных записей. Здесь, на мой взгляд, можно ориентироваться на несколько параметров: 1) Учетная запись пользователя будет расположена в каталоге %userprofile% , а профили служб, обычно, в других местах. (параметр ProfileImagePath ) 2) Учетная запись пользователя имеет sid параметр, а профиль службы нет - он не нужен ей. (параметр sid ) Это только мои мысли, которые легко проверить, если есть вышеперечисленные службы.   Последнее редактирование: Суббота в 20:16 Симпатии: Это понравилось akok и machito Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков Суббота в 23:03 #4 Сообщения 5,834 Симпатии 5,698 Суббота в 23:03 #4 Кирилл написал(а): Где есть перечень профилей учетных записей. Здесь, на мой взгляд, можно ориентироваться на несколько параметров: 1) Учетная запись пользователя будет расположена в каталоге %userprofile% , а профили служб, обычно, в других местах. (параметр ProfileImagePath ) 2) Учетная запись пользователя имеет sid параметр, а профиль службы нет - он не нужен ей. (параметр sid ) Нажмите для раскрытия... При чём здесь это. Мне не учётку Microsoft нужно вычленить, а специальные учётки, создаваемые и используемыми службами, как Акронис. А у таких учёток есть всё, и SID, и ProfilePath, и соответственно путь в C:\users\XXX   Кирилл Команда форума Администратор Воскресенье в 17:44 #5 Сообщения 13,489 Симпатии 5,981 Воскресенье в 17:44 #5 Dragokas написал(а): При чём здесь это. Мне не учётку Microsoft нужно вычленить, а специальные учётки, создаваемые и используемыми службами, как Акронис. А у таких учёток есть всё, и SID, и ProfilePath, и соответственно путь в C:\users\XXX Нажмите для раскрытия... При том, что у этих учеток, которые ты пытаешься вычленить должны быть свои особенности, они же имеют отличия от обычной учетной записи. Тут два варианта, я тебя и спрашивал что именно нужно. Или вычислить "нормальные" учетные записи и откинуть их из общего списка, или смотреть отличия учетных записей, созданные службами. Они однозначно должны быть. Если есть такие записи у тебя где на виртуалках - давай посмотрим. Я у себя накатить не смог на виртуалке, ресурсов не хватило.   Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков Воскресенье в 18:54 #6 Сообщения 5,834 Симпатии 5,698 Воскресенье в 18:54 #6 У меня нет на чём тестировать.   regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик Воскресенье в 19:34 #7 Сообщения 12,192 Симпатии 5,824 Воскресенье в 19:34 #7 Кирилл написал(а): При том, что у этих учеток, которые ты пытаешься вычленить должны быть свои особенности, они же имеют отличия от обычной учетной записи. Тут два варианта, я тебя и спрашивал что именно нужно. Или вычислить "нормальные" учетные записи и откинуть их из общего списка, или смотреть отличия учетных записей, созданные службами. Они однозначно должны быть. Если есть такие записи у тебя где на виртуалках - давай посмотрим. Я у себя накатить не смог на виртуалке, ресурсов не хватило. Нажмите для раскрытия... Так в этом и состоял вопрос заданный в первом посте. Какие есть у них особенности и как их отличить обычных учётных записей (можно читать и наоборот как обычные отличить от них). Из написанного выше ответа на этот вопрос никак не следует.   regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик Воскресенье в 19:35 #8 Сообщения 12,192 Симпатии 5,824 Воскресенье в 19:35 #8 Вот ещё пример такой "виртуальной" учётки UpdatusUser   Lunik Практикант Понедельник в 15:08 #9 Сообщения 431 Симпатии 76 Понедельник в 15:08 #9 В реестре по пути Код: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList По параметру Guid может можно определить. У меня у пользователей типа MSSQL$MICROSOFT Classic .NET AppPool USR1CV8 Данного параметра нет. Сообщения объединены: Понедельник в 15:09 Появляется он соответственно только у локальных или доменных пользователей Сообщения объединены: Понедельник в 15:23 Нет сорри, данный паарметр относится только к доменным пользователям. Сообщения объединены: Понедельник в 15:26 Есть отличие что у локального пользователя что у доменного появляется параметр RunLogonScriptSync У этих пользователь его нет, так как вход не выполнялся соответствнно MSSQL$MICROSOFT Classic .NET AppPool USR1CV8   Последнее редактирование: Понедельник в 15:26 Симпатии: Это понравилось Кирилл Кирилл Команда форума Администратор Понедельник в 17:49 #10 Сообщения 13,489 Симпатии 5,981 Понедельник в 17:49 #10 @Lunik верно понял мою мысль. + добавлю, что та же логика должна работать и для каталогов пользователей. То есть можно проверять наличие вложенных каталогов, характерных для "настоящего" пользователя. Например, по этапам: 1) Перебираем раздел реестра ProfileList 2) Если есть вложенный раздел с параметром ProfileImagePath, там указан соответствующий адрес расположения 3) Там проверяем наличие атрибутов полноценной учетной записи - например, каталог Searches, Рабочий стол, файл Ntuser.dat ... Вполне рабочая схема. Единственный вариант тут ошибиться - ситуация, когда учетная запись только была создана, а вход в нее не осуществлялся. Тогда не создается ряд записей в реестре и соответствующих каталогов. Но и то это не будет ошибкой - такая учетная запись все равно не может считаться "полноценной".   Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков Понедельник в 18:14 #11 Сообщения 5,834 Симпатии 5,698 Понедельник в 18:14 #11 Lunik написал(а): Есть отличие что у локального пользователя что у доменного появляется параметр RunLogonScriptSync Нажмите для раскрытия... Это не причина сокрытия учётки. Как результат - ненадёжный способ. Кирилл написал(а): 3) Там проверяем наличие атрибутов полноценной учетной записи - например, каталог Searches, Рабочий стол, файл Ntuser.dat ... Нажмите для раскрытия... Это всё слишком косвенные признаки. Есть там конечно же Ntuser.dat, ведь у этого юзера всё как положено, и SID, соответственно и свой раздел в HKU. Ты наверное снова путаешь с учёткой от Майкрософт. Схема то схемой, но что мне с неё. У меня не на чем тестировать. Нужен надёжный признак, что-то вроде флага "Скрытая запись". Попробую где-то поискать программу, устанавливающую такую учётную запись. Сообщения объединены: Понедельник в 18:58 Вообщем, предположительно нашел ответ: Acronis Agent User | Acronis Forum Log on as a service (Windows 10) User Rights Assignment (Windows 10) У этой учётки должна присутствовать привилегия SeServiceLogonRight (Log on as a service). Это не совсем признак сокрытия, но хотя бы явное разрешение использовать учётку для входа службой. Поставил Акронис, но юзера "Acronis Agent User" я не нашел. Наверное, не та версия. @Lunik, можешь, пожалуйста, проверить есть ли у тебя на компе, где MSSQL, упоминание этой учётной записи в пункте: gpedit.msc: Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment => Log on as a service Нажмите для раскрытия... или Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя => Вход в качестве службы Нажмите для раскрытия... ?   Последнее редактирование: Понедельник в 18:59 Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков Понедельник в 23:50 #12 Сообщения 5,834 Симпатии 5,698 Понедельник в 23:50 #12 Так, вроде бы разобрался. У этих учёток, кроме указанного выше, по тому же пути в групповых политиках должен стоять запрет: Запретить локальный вход Нажмите для раскрытия... В этом случае учётка пропадает из окна входа пользователей.   Симпатии: Это понравилось Кирилл Lunik Практикант Вчера в 09:08 #13 Сообщения 431 Симпатии 76 Вчера в 09:08 #13 Dragokas написал(а): @Lunik, можешь, пожалуйста, проверить есть ли у тебя на компе, где MSSQL, упоминание этой учётной записи в пункте: gpedit.msc: Нажмите для раскрытия... Да они там присутствуют в пункте > Вход в качестве службы Так же есть Пункт Запретить локальный вход, там их нет кроме USRV82   Симпатии: Это понравилось Dragokas Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков Вчера в 18:05 #14 Сообщения 5,834 Симпатии 5,698 Вчера в 18:05 #14 Спасибо. Удалось воспроизвести с помощью Download Microsoft® SQL Server® 2014 Express from Official Microsoft Download Center Осталось выяснить как программно получить доступ к этим данным. Сообщения объединены: Вчера в 18:57 Вообщем, тема ещё не решена. На мойм стенде, "Вход в качестве службы" указан в том числе основной пользователь "Alex", а в пункте "Запретить локальный вход" указан только "Гость", но при этом в списке пользователей экрана входа и оснастки lusrmgr.msc отсутствует "MSSQL$SQLEXPRESS", хотя этот юзер имеет и SID, и папку в C:\Users. В ключе ProfileList есть различия в параметрах: 1. RunLogonScriptSync - у учётки службы его нет (но это плохой критерий) 2. State - у обычной учётки (администратора) он = 0x100, а у учётки службы он = 0. Нашел описания перечисления State, но числа 0 среди них, к сожалению нет: RefCount in the Profilelist MeipoXu написал(а): According to our research, the path of the ProfileList key is “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\ “.Is the path respective with yours? The main subkeys for each user are “Default”,“Flags”,“ProfileImagePath”,”ProfileLoadTimeHigh”,” ProfileLoadTimeLow”, ” RefCount ”,”Sid” and ”State”,” RunLogonScriptSync”. Default: It's the value whose name is null. Flags: enable you to tenancy the installation and uninstallation of your registry entries. ProfileImagePath: The User profiles` path. ProfileLoadTimeHigh: Profile load time of user ProfileLoadTimeLow: Profile load time low of user RefCount: `0` value ways the worth has no zippy session, not `0`value ways the worth has an zippy session. Sid:Security Identifier. State: indicates the state of the local profile cache. 0001 Profile is mandatory. 0002 Update the locally cached profile. 0004 New local profile. 0008 New inside profile. 0010 Update the inside profile. 0020 Delete the cached profile. 0040 Upgrade the profile. 0080 Using Guest user profile. 0100 Using Administrator profile. 0200 Default net profile is misogynist and ready. 0400 Slow network link identified. 0800 Temporary profile loaded. RunLogonScriptSync : Determines whether the system waits for the logon script to finish running surpassing it starts Windows Explorer and creates the desktop. 0 The logon script and Windows Explorer can run simultaneously. 1 Windows Explorer does not start until the logon script has finished running. Нажмите для раскрытия... P.S. Попробовал создать новую учётку, присвоить ей State = 0 и перезагрузиться, но новая учётка не скрылась.   Вложения 1.png 36.8 KB Просмотры: 1 2.png 32.1 KB Просмотры: 0 acc.png 43 KB Просмотры: 0 HKU.png 7.9 KB Просмотры: 0 luser1.png 24.2 KB Просмотры: 0 luser2.png 58.8 KB Просмотры: 0 ProfileList1.png 29.1 KB Просмотры: 0 ProfileList2.png 23.2 KB Просмотры: 0 user_folders.png 25.8 KB Просмотры: 0 Последнее редактирование: Вчера в 19:04 Войдите или зарегистрируйтесь для ответа. Поделиться: Вконтакте Одноклассники Mail.ru Blogger Linkedin Liveinternet Livejournal Facebook Twitter Google+ Reddit Pinterest Tumblr WhatsApp Telegram Viber Электронная почта Ссылка Форумы Операционные системы Реестр Microsoft Windows SafeZone Russian (RU) Обратная связь Условия и правила Политика конфиденциальности Помощь RSS Forum software by XenForo™ © 2010-2018 XenForo Ltd.Advanced Forum Stats by AddonFlare - Premium XF2 Addons Локализация от XenForo.Info На данном сайте используются файлы cookie, чтобы персонализировать контент и сохранить Ваш вход в систему, если Вы зарегистрируетесь. Продолжая использовать этот сайт, Вы соглашаетесь на использование наших файлов cookie. Принять Узнать больше... Сверху Снизу