Армируем браузер. (Защищаем браузер)

базовая настройка Ос Windows XP Prof, эффективные приемы работы, проблемы, подавление вирусни & etc.

Модераторы: МураХа, :NJ:

Армируем браузер. (Защищаем браузер)

Сообщение :NJ: » Ср май 30, 2012 3:50 pm

В чем счя проблема для пользователей интернета? -Проблема в безопасности веб приложений ( т.е. в вредносном программном обеспечении, пытающимся заразить наш компьютер на каких-то "нехороших" сайтах).
Как определится, что веб-ресурс безопасен? - Никак.
Детектируют ли угрозу антивирусы? - Мало и неуверенно.
Если выход? - Да. Даже не один: либо ставить платный дорогой авирь; установить на компьютер альтернативную ОС. Либо помочь браузеру "не болеть"(или болеть, но не полностью).
Заражение через веб происходит в основном двумя спопобами браузер пробивается в уязвимость и исполняет произвольный код, либо "окружение браузера" (имхо BHO, плагины, JAVA) дырявое и заражение происходит "сквозь" него. Как можно это предотвратить? НЕ использовать права администратора системы! Но о чем это я, кому это интересно. Домохозяйки и т.д. не будут заниматься всякой ерундой, ковыряться в администрировании и создавать урезанных пользователей или запускать, редактировать GP. Надо что-то проще, чтобы даже обезьянка могла повторить.
Почему браузер может инфецировать систему? Потому, что у него есть права и привилегии пользователя, под которым он был запущен. Т.е. под административным аккаунтом браузер имеет привилегии SeDebugPrivilege, SeLoadDriverPrivilege, и т.д. Что нам надо сделать? Надо урезать права браузера до обычного польователя, чтобы через него не лезли всякие бяки. В этом нам поможет утилита stripmyrights от sysint.no, которая умеет купировать права процессу по нашему желанию. Сразу скажу, что идея не моя и слава вся отправляеться к творцу и реализатрору SF_Flash-у. Вот батник для установки в систему, его содержимое
КОД:

@echo off
rem###########################
rem ENG: That script made to install StripMyRigths for brouser: Opera, Mozilla Firefox,Chrome,IE in OS Win NT. "As is" and for Free.
rem RUS: Этот скрипт сделан для установки StripMyRigths на браузеры Опера, Мозила Файрфокс, Хром, ИЕ под ОС Win NT. Он предоставляется как есть и на халяву.
rem###########################
rem Autors: SF-FLASH & NJ
rem###########################
rem coding codepage cp-1251
rem###########################
title Browsers rights reducing. Autors: SF-FLASH and NJ | color 0F | cls
IF NOT EXIST stripmyrights.exe (goto fail) ELSE (goto go)
:fail
color 0C
echo Install fail, file stripmyrights.exe don't exist in curent directory :(
set say=Попытка установки не удалась :( . Проверьте, чтобы файл stripmyrights.exe был в папке со скриптом.
goto sayit
goto EOF
:go
color 0A
IF NOT EXIST %systemroot%\stripmyrights.exe (copy stripmyrights.exe %systemroot%\stripmyrights.exe)
if %errorlevel%==1 (goto ncopy)
REG QUERY "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe" /v "Debugger" | find /I "StripMyRights.exe" >NUL
if %errorlevel%==1 (cls)
set /A inst=%errorlevel%
set /A _do=1
if %inst%==1 (echo Installing..) ELSE (Echo Uninstall..)
:d1
echo Processing rights for opera..
set par=HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe
goto reg
:d2
echo Processing rights for firefox..
set par=HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\firefox.exe
goto reg
:d3
echo Processing rights for internet explorer..
set par=HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe
goto reg
:d4
echo Processing rights for chrome..
set par=HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe
goto reg
:d5
echo All done!
if %inst%==1 (set say=Установка прошла успешно :Ъ . Перезапустите браузер.) ELSE (set say=Деинсталяция закончена.)
goto sayit
goto EOF
:ncopy
color 0c
echo Error. Can't copy stripmyrights.exe into %systemroot%
set say=Ошибка. Не могу скопировать файл stripmyrights.exe в %systemroot%
goto sayit
goto EOF
:nreg
color 0c
echo Error. Can't add value to registry. Command string reg add "%par%" /v "Debugger" /t REG_SZ /d "StripMyRights.exe" /D /L N /f
set say=Ошибка. Не могу установить параметр значения в реестре. Строка команды reg add %par% /v Debugger /t REG_SZ /d StripMyRights.exe /D /L N /f
goto sayit
goto EOF
:reg
if %inst%==1 (reg add "%par%" /v "Debugger" /t REG_SZ /d "StripMyRights.exe /D /L N" /f >NUL) ELSE (reg delete "%par%" /v "Debugger" /f >NUL)
set /A _do=%_do%+1
if %errorlevel%==0 (goto d%_do%) ELSE (goto nreg)
:sayit
pushd
cd /d %tmp%
set temp0=(%random%)
echo msgbox "%say%">%temp0%.vbs
start %temp0%.vbs
ping -n 4 127.0.0.1 >NUL
if %inst%==0 (del %systemroot%\stripmyrights.exe)
del %temp0%.vbs
popd


КонецКОДА

Браузер с урезанными привилегиями
Изображение

Приложение без урезанных привилегий
Изображение

PS IE 8, был проверен - он не работает с урезанными правами. Опера, Мозила - работают, но при обновлении браузеров, особенно Оперы, необходимо выключать ограничение прав для браузера, так как инсталятор при установки использует ядро оПеры для установки.
PPS Приведенный выше батник прописыват настройки в реестр, выставляя StripMyRights как отладчик процесса браузера. Соответсвенно для корректной установки надо чтобы StripMyRights.exe находился в папке из PATH. Его можно положить в папку винды например %systemroot%.

***UPD 19.11.2012
Батник был немного переделан и допилен. Его можно использовать как для установки StripMyRights в систему, так и для удаления. Главное, чтобы испольняемый файл находился в той же папке что и bat-скрипт. Добавлены информативные оповещения :Ъ
*размер шрифта кода батника намеренно сделан маленьким, чтобы в строках не было переносов, а то код при копировании с сайта будет неработоспособным(спс дяде Приходу за кривой форум :( , при использовании тега "code" нельзя регулировать размер шрифта, включается автоперенос строк, что делает код неработоспособным ).

***UPD 25.01.2013
Батник можно использовать для отключения песочницы при необходимости (допустим для обновления браузера Опера),
теперь батник показывает всплывающие сообщения (мессадж боксы) на русском языке, при корректном выполнении команд текст эха в консоле подсвечивается зеленым, при ошибках - красным.
Песочницу можно скачать тут.
Скрипт для ленивых тут.
mosk loaded, but checksum wrong...(c)
Аватара пользователя
:NJ:
 
Сообщения: 15
Зарегистрирован: Пт сен 25, 2009 12:52 pm
Откуда: Краматорск, Донецкая обл., Украина

Вернуться в Конфигурация Windows

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 1

cron