{"id":8101,"date":"2021-06-28T07:52:00","date_gmt":"2021-06-28T05:52:00","guid":{"rendered":"https:\/\/payload.pl\/?p=8101"},"modified":"2022-01-07T18:27:12","modified_gmt":"2022-01-07T17:27:12","slug":"smartscreen","status":"publish","type":"post","link":"https:\/\/payload.pl\/smartscreen\/","title":{"rendered":"Jak wirusy wy\u0142\u0105czaj\u0105 filtr SmartScreen?"},"content":{"rendered":"

SmartScreen jako ca\u0142o\u015b\u0107 jest us\u0142ug\u0105 ostrzegaj\u0105c\u0105 przed z\u0142o\u015bliwymi stronami i plikami<\/a>, g\u0142\u00f3wnie w przegl\u0105darkach (Edge i wszystkich bazuj\u0105cych na Chromium, oraz Firefox i Internet Explorer). Sam program smartscreen.exe<\/tt> odpowiada za pobieranie z Internetu plik\u00f3w z aktualizacjami list z\u0142o\u015bliwych stron, oraz odpowiadanie na zapytania innych komponent\u00f3w systemu (np. przegl\u0105darek) o to, czy dany url jest z\u0142o\u015bliwy.<\/p>\n

Do\u015b\u0107 nietypowy jest proces startu tej us\u0142ugi – nie jest ona zarz\u0105dzana przez mechanizm zarz\u0105dzania us\u0142ugami systemu Windows, ale przez Windows Defendera<\/a>, jako jego komponent zewn\u0119trzny, uruchamiany na \u017c\u0105danie.<\/p>\n

Zobaczmy wi\u0119c, jak SmartScreen jest trwale rozbrajany przez realnego wirusa<\/a>. Podobnie jak w przypadku samego Windows Defendera, SmartScreen nie jest ca\u0142kowicie wy\u0142\u0105czany<\/a>, ale raczej unieszkodliwiany – priorytetem jest bowiem to, aby braku jego dzia\u0142ania nie zauwa\u017cy\u0142 u\u017cytkownik.<\/p>\n

Jak to robi realny wirus?<\/h2>\n

Zaczyna si\u0119 od polecenia, kt\u00f3rych celem jest zmiana w\u0142asno\u015bci programu smartscreen.exe<\/tt> w systemie plik\u00f3w z grupy TrustedInstaller na grup\u0119 Administratorzy – umo\u017cliwia to jakiekolwiek dalsze operacje na tym pliku<\/a>:<\/p>\n

takeown \/f \"%systemroot%\\System32\\smartscreen.exe\" \/a<\/tt><\/p>\n

Kolejne polecenie usuwa wszystkie uprawnienia jawne<\/a> nadane temu plikowi (a konkretnie smartscreen.exe<\/tt> w Windows 10 ma 6 takich wpis\u00f3w po instalacji systemu – b\u0105d\u017a 5, je\u015bli by\u0142a ju\u017c u\u017cyta operacja reset, kt\u00f3ra nie odtwarza zduplikowanego uprawnienia dla TrustedInstaller) i w\u0142\u0105cza dziedziczenie uprawnie\u0144 po katalogu nadrz\u0119dnym:<\/p>\n

icacls \"%systemroot%\\System32\\smartscreen.exe\" \/reset<\/tt><\/p>\n

Nast\u0119pnie dzia\u0142aj\u0105cy proces jest zabijany:<\/p>\n

taskkill \/im smartscreen.exe \/f<\/tt><\/p>\n

A zanim Windows Defender si\u0119 po\u0142apie, \u017ce trzeba go uruchomi\u0107 od nowa, do uprawnie\u0144 jawnych dodawany jest wpis blokuj\u0105cy<\/b> i w efekcie trwale uszkadzaj\u0105cy dost\u0119p do tego pliku:<\/p>\n

icacls \"%systemroot%\\System32\\smartscreen.exe\" \/inheritance:r \/remove *S-1-5-32-544 *S-1-5-11 *S-1-5-32-545 *S-1-5-18<\/tt><\/p>\n

Aby zrozumie\u0107 to ostatnie polecenie, trzeba wiedzie\u0107, w jaki spos\u00f3b zbudowany jest tzw. SID, czyli unikalny identyfikator u\u017cytkownika lub grupy w systemie Windows, oraz jak dzia\u0142a zarz\u0105dzanie uprawnieniami w systemie plik\u00f3w NTFS.<\/p>\n

SID<\/h2>\n

W przypadku Linuxa, numerem u\u017cytkownika w systemie jest po prostu liczba, kt\u00f3ra pomi\u0119dzy r\u00f3\u017cnymi systemami mo\u017ce si\u0119 powtarza\u0107 dla ca\u0142kiem r\u00f3\u017cnych u\u017cytkownik\u00f3w – wr\u0119cz wi\u0119kszo\u015b\u0107 dystrybucji Linuxa rozpoczyna numeracj\u0119 nowo tworzonych u\u017cytkownik\u00f3w od 1000 lub 500, co nie tylko umo\u017cliwia, ale wr\u0119cz gwarantuje kolizje.<\/p>\n

W przypadku Windows, ka\u017cdy u\u017cytkownik ma sw\u00f3j globalnie unikalny SID<\/a>, zbudowany m.in. z identyfikatora domeny lub komputera lokalnego, oraz unikalnego identyfikatora obiektu w ramach tej domeny<\/a>. Przyk\u0142adowy identyfikator SID u\u017cytkownika wygl\u0105da nast\u0119puj\u0105co:<\/p>\n

S-1-5-21-636649630-2579541731-3789140388-1002<\/tt><\/p>\n

Podobnie z grupami niestandardowymi, tj. utworzonymi przez samego u\u017cytkownika (lub administratora).<\/p>\n

Natomiast istnieje te\u017c ca\u0142y szereg wbudowanych grup standardowych, kt\u00f3rych nazwy mog\u0105 si\u0119 r\u00f3\u017cni\u0107 w r\u00f3\u017cnych j\u0119zykach, ale maj\u0105 one sta\u0142e identyfikatory SID<\/b>, m.in.:<\/p>\n