Vím, že admin uživatel má defaultně práva user a pro přidělení admin práv se otevře varovné UAC okno. Jenže ty nevíš to, že toto platí jen pro běžné korektní chování aplikací a skriptů. Existuje mnoho způsobů jak vyvolání toho UAC okna při elevaci práv pod admin účtem obejít, jestli je chceš všechny popsat, tak se obrať na uživatele BAU z MDL.
Tu máš jeden příklad od BAU na zakázání Defendera, je v tom zahrnuta elevace na admin oprávnění bez vyvolání UAC okna pod admin účtem (je to těch 6 řádků pod ## 1: admin-user non-elevated) a jako bonus tam máš i elevaci z admin oprávnění na trusted installer oprávnění (## 2: admin-user elevated: get ti/system via runasti lean and mean snippet) - opět bez interakce uživatele a to pak je ten skript absolutním vládcem nad systémem a může si dělat co chce.
https://pastebin.com/hLsCCZQY
Vyzkoušej ve virtuálce, odstřelí to Defender (na to je potřeba trusted installer oprávnění a na to si je skript elevuje bez interakce uživatele z user oprávnění pod admin účtem) a nenaběhne ti žádné okno UAC.
(jen poznámka, nelíbí se mi jak skript funguje, tak na běžné zakazování Defendera mi vhodný nepřijde, na to mi přijde vhodnější zakázat jej přes policies, ale jako ukázka na obcházení UAC a elevaci je dobrý)
Ten tebou odkazovaný článek na Trusteer Rapport jsem četl ještě než jsi mi na něj dal odkaz, četl jsi jak na něj reagovala Komerční banka na konci článku? Pokud ne, tak si tu reakci přečti. Já s tím vyjádřením KB souhlasím.
Přečti si něco o zakladateli Kasperského, přečti si něco o názoru vlády USA na produkty od firmy Kaspersky, přečti si něco o názoru činitelů EU na produkty od firky Kaspersky... S tím nemáš problém, ale máš tu narážku na Trusteer Rapport patřící pod firmu IBM... (tím nikomu nevymlouvám používání produktů od Kasperského)
Ano, čím víc softu, tím vetsi sance, ze se nekde najde zapomenuta chyba a nekdo ji zneuzije. Jenže ten soft, třeba konkrétně Trusteer Rapport, je bezpečnostní soft, který má určitou bezpečnostní funkcionalitu a ta u běžných uživatelů mnohonásobně přebije nějaké potenciálni rizika s dírou softwaru, to je můj názor a je to i názor třeba KB, jinak by ten program nedoporučovala. Nebo třeba Eset by neimplementoval do některých produktů modul Ochrana bankovnictví a online plateb, což je něco podobného jako Trusteer Rapport.
Já osobně jsem tu nepsal ani jsem nijak nenaznačoval to, že by někdo měl věřit tomu, že tuna softwaru (a nastavení) někomu zajistí (absolutní) ochranu, jde o to házet malwaru klacky pod nohy, pokud někdo těch klacků není schopen vlastním rozumem naházet dost, tak mně přijde smysluplné používat programy, které zajistí proti malwaru určitou překážku, což například Trusteer Rapport zajistí.
Programy, které neběží rezidentně, můžou být z hlediska ochrany jen takovým bonusem, jednak mají omezenou funkcionalitu a jednak řeší jen ležící nebo již spuštěné věci, což už je jaksi pozdě... Klidně uvedu konkrétně na těch tebou uvedených programech:
Eset Online Scanner: Jak jsem si hrál s tím mnou uvedeným makrem v Office, tak Eset Online Scanner soubor s takový makrem nedetekoval. Co si pamatuju, tak jej ale detekovaly klasické produkty Esetu a to při samotné činnosti toho makra na základě činnosti makra a skript nebylo možné makrem spustit (jen poznámka k Defenderu, v případě spuštěného aktualizovaného Defenderu normálně došlo ke spuštění skriptu).
ADWCleaner jsem znal, vytvořil jej nějaký francouz, programoval jej v autoitu (do doby než jej převzal Malwarebytes). V té době jsem měl ADWCleaner i dekompilovaný a vytvořil jsem i zdrojový kód, který byl oficiálně zahrnutý v ADWCleaneru. Zjednodušeně ADWCleaner beru jako čistič od adwaru, prostě jako čistič od něčeho známého ne relativně nebezpečného. Jak ochrání uživatele ADWCleaner třeba před sofistikovaným šifrovacím malwarem nebo phishingem? Nijak.