Close Topic Options

[valja]

QUOTE (horton)

HKLM\SAM.

Там пусто (вернее, пустая Default запись и еще HKLM\SAM\SAM тоже с пустой Default записью).

QUOTE (horton)

QUOTE Профиль копировать не пробовал, но попробую. Скорее всего, тоже всё в порядке после этого?

Да, со вторым юзером все ОК и после копирования профиля.

[horton]

QUOTE

Там пусто (вернее, пустая Default запись и еще HKLM\SAM\SAM тоже с пустой Default записью).

Шутишь!?
"Этого не может быть, потому, что не может быть нико..."
А сам файл SAM в папке config есть? И размер у него нулевой?

Немножко неловко говорить, но там по умолчанию права только у SYSTEM.
Даже у админов там "special rights". Они ничего не могут.
Из-за этого не видишь?

QUOTE

со вторым юзером все ОК и после копирования профиля.

Логично. SAM при копировании (ессно) не трогается.
Видимо, действительно, кто-то пытался "стать" админом вручную...

[valja]

QUOTE (horton @ 04-02-2009, 16:14)

QUOTE Там пусто (вернее, пустая Default запись и еще HKLM\SAM\SAM тоже с пустой Default записью). Шутишь!? "Этого не может быть, потому, что не может быть нико..." А сам файл SAM в папке config есть? И размер у него нулевой? Немножко неловко говорить, но там по умолчанию права только у SYSTEM. Даже у админов там "special rights". Они ничего не могут. Из-за этого не видишь?

My bad , запускал regedit просто админом. Но я уже дома, так что под SYSTEM буду смотреть завтра. А SAM файл в папке config там есть, ненулевой.

QUOTE

QUOTE со вторым юзером все ОК и после копирования профиля. Логично. SAM при копировании (ессно) не трогается. Видимо, действительно, кто-то пытался "стать" админом вручную...

Такое подозрение возникло сразу. Возможно, временно подставляли другой SAM файл, но что то не срослось.

[valja]

QUOTE (Sandro2 @ 04-02-2009, 03:25)

Валя, а не может это быть пока не учтенный, только что выпущенный в свет, вирус? То есть, антивирус или malware его не определяют?

В принципе возможно, но маловероятно. Если даже так, то странный вирус - его единственное (пока) проявление - права юзера. И тогда тем более копать надо.

[Sandro]

Ну не вирус, это я оговорился, а троян специально заточенный под такую задачу. Тем более если он написан узконаправлено, специально для вашей конторы, то ни один антивирусник или антималвера его не определит. Или просто, "недоделанный" троян. Хотя, согласен - маловероятно.

This post has been edited by Sandro2 on 05-02-2009, 01:48

[valja]

QUOTE (horton @ 04-02-2009, 11:06)

HKLM\SAM.

В HKLM\SAM\SAM\Domains\Builtin\Aliases в ключе админской группы наблюдается только RID админа, пользователя не видно. Что в общем то и логично - его в группе админов не видно и реальных админских прав у него нет. НО, в конце записи восемь лишних байтов нулей (?). Нормально при добавлении пользователя в админ группу туда его RID и пишется, но при удалении из группы стирается вся дополнительна область - никаких лишних нулей не остается.

В общем, временно подкину туда SAM от нормально работающего клона. Если проблема исчезнет, то собака там и зарыта (т.е. в SAM). Если нет, придется копать в других местах. В любом случае будет полезно посмотреть через RegMon обращения к реестру.

[valja]

Другой SAM так и не упел подкинуть. Попутно произошел диалектический скачок - после очередного запуска компа юзер проявился в группе админов. Только теперь его удалить из админов не получается - "The specified account name is not a member of the local group". Теперь сижу, разглядываю логи RegMon.

Sandro2, народ молился бы на такой врус, превращяющий юзера в непотопляемого админа.

[Sandro]

Валя, я же говорю - "не вирус", а специальная программулька... если ты говоришь что есть подозрение что юзер пытался взять права админа. Ведь есть же такие программы.

Хотя да, ежели он непотопляем, тогда странно. А в реале нельзя этого юзера выловить и спросить (с пристрастием)?

This post has been edited by Sandro2 on 05-02-2009, 22:24

[valja]

QUOTE (Sandro2 @ 05-02-2009, 21:21)

Валя, я же говорю - "не вирус", а специальная программулька... если ты говоришь что есть подозрение что юзер пытался взять права админа. Ведь есть же такие программы.

Конечно есть, их даже искать особо не надо.

QUOTE

Хотя да, ежели он непотопляем, тогда странно. А в реале нельзя этого юзера выловить и спросить (с пристрастием)?

Так его и ловить не надо, он сам комп принес. И говорит, что вот, запустил машину, а тут такое... Для вопросов с пристрастием голых подзрений мало.

[horton]

QUOTE (valja)

Попутно произошел диалектический скачок - после очередного запуска компа юзер проявился в группе админов. Только теперь его удалить из админов не получается - "The specified account name is not a member of the local group".

valja, такое уже было... В каком-то фильме. По-моему восстание машин называлось. Блокируем все обращения к SAM и изменения допускаются только от имени SYSTEM. По предварительной заявке. Вписанной только в заранее известные понумерованные блоки эмулятора FAT...

А если серьёзно - похоже, что ты уже начал "рикошеты" ловить от некорректного изменения файла.
И не известно что и чем вызвано и что первично...
Надеюсь, хоть ключик hivelist ссылается на правильный файл, а не непойми на что.

QUOTE (valja)

Теперь сижу, разглядываю логи RegMon.

Показывает? А как ты его под SYSTEM запустил?
Через service_any?

[valja]

QUOTE (horton @ 05-02-2009, 22:43)

Надеюсь, хоть ключик hivelist ссылается на правильный файл, а не непойми на что.

Там их два, оба в порядке (идентичны ключам на нормальной системе). Вообще говоря, весьма удобно держать рядом аналогичный нормальный комп (с того же имиджа) и сравнивать ключи.

QUOTE

QUOTE (valja) Теперь сижу, разглядываю логи RegMon. Показывает? А как ты его под SYSTEM запустил? Через service_any?

Похоже, он сам так запускается (скачал свежую версию с майкрософта). По крайней мере в логах все видно. Вот кусочек лога при попытке удалить "непотопляемого" админа:

CODE

228 16:20:13 lsass.exe:1076 QueryValue HKLM\SAM\SAM\C SUCCESS 07 00 01 00 00 00 00 00 ... 229 16:20:13 lsass.exe:1076 QueryValue HKLM\SAM\SAM\Domains\Account\V SUCCESS 00 00 00 00 E0 00 00 00 ... 230 16:20:13 lsass.exe:1076 QueryValue HKLM\SAM\SAM\Domains\Builtin\V SUCCESS 00 00 00 00 98 00 00 00 ... 231 16:20:13 lsass.exe:1076 OpenKey HKLM\SAM\SAM\DOMAINS\Account\Groups\Names\user NOT FOUND 232 16:20:13 lsass.exe:1076 OpenKey HKLM\SAM\SAM\DOMAINS\Account\Aliases\Names\user NOT FOUND 233 16:20:13 lsass.exe:1076 OpenKey HKLM\SAM\SAM\DOMAINS\Account\Users\Names\user SUCCESS Access: 0x20019 234 16:20:13 lsass.exe:1076 QueryValue HKLM\SAM\SAM\DOMAINS\Account\Users\Names\user\(Default) SUCCESS UNKNOWN TYPE: 1005 235 16:20:13 lsass.exe:1076 CloseKey HKLM\SAM\SAM\DOMAINS\Account\Users\Names\user SUCCESS 236 16:20:13 lsass.exe:1076 OpenKey HKLM\SAM\SAM\DOMAINS\Account\Users\000003ED SUCCESS Access: 0x2001F 237 16:20:13 lsass.exe:1076 QueryValue HKLM\SAM\SAM\DOMAINS\Account\Users\000003ED\V SUCCESS 00 00 00 00 D4 00 00 00 ... 238 16:20:13 lsass.exe:1076 QueryValue HKLM\SAM\SAM\DOMAINS\Account\Users\000003ED\F SUCCESS 02 00 01 00 00 00 00 00 ... 239 16:20:13 lsass.exe:1076 QueryValue HKLM\SAM\SAM\DOMAINS\Account\Users\000003ED\V SUCCESS 00 00 00 00 D4 00 00 00 ... 240 16:20:13 lsass.exe:1076 QueryValue HKLM\SAM\SAM\DOMAINS\Account\Users\000003ED\V SUCCESS 00 00 00 00 D4 00 00 00 ... 241 16:20:13 lsass.exe:1076 CloseKey HKLM\SAM\SAM\DOMAINS\Account\Users\000003ED SUCCESS

А вообще под SYSTEM можно запускать через PsExec - например
psexec -s -i regedit.exe

[valja]

Круг поисков сужается. Подставил нормальный SAM, все работает. Т.е. копать нужно в SAM - сравнивать SAMы (и соответствующие логи).

[valja]

Коротко кртина следующая:

Есть изменеия в ключе HKLM\SAM\SAM\Domains\F

Изменен ключ HKLM\SAM\SAM\Domains\Account\Aliases\000003EC\C (это группа дебагеров) - в конце дописан администратор (RID 1f4). Computer Management показывает наличие администратора в этой группе, удалить из нее не удается.

К ключу [HKLMACHINE\SAM\SAM\Domains\Account\Aliases\Members\S-1-5-21-..... добавлен подключ \000001F4]

У ключа [HKLM\SAM\SAM\Domains\Account\Users\000001F4] (1f4 это RID администратора) изменены оба F и V.

У ключа [HKLM\SAM\SAM\Domains\Account\Users\000003ED] (3ED это RID юзера) изменен F.

У ключа [HKLM\SAM\SAM\Domains\Builtin] изменен F.

Изменен [HKLM\SAM\SAM\Domains\Builtin\Aliases\00000220] (это описание группы администраторов). Число членов группы увеличено с 1 до 2, увеличена длина записи с 0x1c на 0x24. НО, в конце присутствуют только данные администратора (1f4), дополненные в конце восемью нулевыми байтами, данных про второго пользователя нет.

У ключа [HKLM\SAM\SAM\Domains\Builtin\Aliases\Members\S-1-5-21-...\000003ED] в начале добавлено hex:20,02,00,00 - т.е. принадлежность к группе администраторов 0220 (нормально там стоит hex:21,02,00,00 - принадлежность к группе users 0221)

Эти две записи конфликтуют - у юзера прописано, что он в группе админов, а в описании группы администраторов есть данные только администратора.

В общем, похоже, что была попытка добавить юзера в группу администраторов, но что то не срослось при записи на диск и в результате получился некорректный SAM.

[FiL]

спасибо за детективную историю.

[valja]

Ну, история еще не совсем закончена. Тут есть еще один неясный момент - самопроизвольное изменение состояния юзера. При первом запуске компа юзер был только в группе админов, после выключения и следующего включения вообще без групп (но в админы добавить не удавалось). Через несколько дней админская группа "проявилась" - неудаляемая. К сожалению я только тогда сообразил записать SAM и сравнить его с нормальным. Но в любом случае ненормальность SAM налицо.