Gut, andere Frage: was passiert wenn man System zu stark einschränkt ?

Bei Buffer Overflows wird ein Zustand hervorgerufen, in dem ein Programm an einer anderen (als üblichen) Stelle Code ausführt. Ist nun der Puffer der übergelaufen ist mit Code befüllt und führt das Programm an o.g. Stelle eben diesen Code aus, so kann man das ausnutzen.

Da SYSTEM kein echter Account ist, kannst du ihn nicht einschränken. Darum ging es aber nicht. Es ging darum, daß ein beliebiger User vom Admin (inkl Admin selber) jederzeit die gleichen Privs wie der Pseudo-Account SYSTEM bekommen kann.

Danke Assarbad, habe mich auch schon immer gefragt was der BufferOverFlow soll, jetzt weiß ichs *mussschnellvirusprogrammierengehen*

@Asserbad: Jetzt bin ich aber verwirrt,

Deine Aussagen widersprechen sich aber.
Wenn System "per Default" die höchsten Pivilegien hat und man diese Rechte nicht einschränken kann, wie kann dann System weniger Privilegien bekommen und mit höchsten Privilegien nicht alle Rechte besitzen ?

Was ich mit meinem Posting sagen wollte ist das für diese Art der Bufferoverflow Angiffe der injezierte Code unter dem SYSTEM Konto läuft da es das Konto mit den höchsten Privilegien ist.

Gruß Hagen

Okay, ich versuchs nochmal

Admin kann aber sagen:

Sorry, da ich Pedant bin (manchmal), stimmt deine Aussage entsprechend nicht:
Aus 5 = 5 schließe ich Äquivalenz

Jetzt verstanden? Deine Aussage war nur zu weit gefaßt.

Au mann bist du ein Krümel....., so gesehen haste Recht wobei jetzt aber der Punkt ins Spiel kommt "Konto SYSTEM = Hardwarelevel SYSTEM", denn soviel wie ich weis hat System Ring 0 Zugriff, was ein normaler User, selbst wenn er höchstprivilegierter Administrator ist, nicht haben kann. Oder gibt es hier wieder Feinheiten zu beachten, die dann in's Tausendste führen

Auf jeden Fall bin ich der Meinung das das OS selber die meisten Rechte hat noch mehr als der Bediener selber.

Gruß Hagen

Hehe

Also auf Ring0 (i.e. Kernelmode) haben die User und Prozesse aus dem Usermode keine Bedeutung mehr, soweit ich weiß. System kann man natürlich (rein semantisch auch Ring0 zuschreiben, aber dann ist der "User" System eben schizophren ) ... aber ich verstehe, was du meinst. Nur eben in den Begriffen der Windows-Security stimmt es nciht ganz

Ansonsten hat ein beliebiger (auch Pseudo-Account) keinen echten Ring0-Zugriff. Aber das SYSTEM zur TCB gehört, kann er natürlich Treiber stoppen etc ... und beliebige IOCTLs werfen

Conclusio: Ein beliebiger User mit entsprechenden Rechten/Privs kann einen Treiber benutzen um etwas für ihn machen zu lassen.

Sehr schön sind wir uns also technisch gesehen einig, nur an unserer Kommunkikation hat es gescheitert, bzw. genauer gesagt war meine Aussage nicht richtig da eben nicht 5 > 5 ist

Ich hatte schon wieder mal an meinem hart erarbeiteten Wissen gezweifelt.

Gruß Hagen

*grins* du bist einer der wenigen Profis im Sinne des Wortes hier im Forum ... dich zweifelt niemand an. Ist wahrscheinlich wie bei "Threadsafe" im Portscanner-Beitrag ... da haben wir auch erst was zum Synchronisieren unserer Begriffe gebraucht