Soci (Soczó Zsolt) szakmai blogja

2006.10.18.

Vista IE protected mode

Filed under: Szakmai élet,Vista — Soczó Zsolt @ 14:25

A cégnél egy új kutatási feladatom, hogy Vista alatt az IE7 protected módjában is tudjunk user akciókat rekordolni. Ez most azért nem megy, mert nem enged minket behookolni az iexplore.exe processzbe a vista.

A protected mód tömör leírása, érdemes átfutni.

Az egész 3 Vista cuccra épít:

  • User Account Control (UAC), which implements the Principle of Least Privilege.UAC will help users run Vista without requiring administrator privileges to be productive. Administrators can also run most applications with a limited privilege, but have “elevation potential” for specific administrative tasks and application functions.�
     
  • Mandatory Integrity Control (MIC), a model in which data can be configured to prevent lower-integrity applications from accessing it. The primary integrity levels are Low, Medium, High, and System. Processes are assigned an integrity level in their access token. Securable objects such as files and registry keys have a new mandatory access control entry (ACE) in the System Access Control List (ACL).
     
  • User Interface Privilege Isolation (UIPI) blocks lower-integrity from accessing higher-integrity processes. For example, a lower-integrity process cannot send window messages or hook or attach to higher priority processes This helps protect against “shatter attacks.” A shatter attack is when one process tries to elevate privileges by injecting code into another process using windows messages.

Számomra a Mandatory Integrity Control a legérdekesebb, mert ez nekem tiszta olyan, mint a CLR CAS: nem felhasználókhoz rendel jogokat, hanem programokhoz.

Pár szóban itt olvashattok róla. Egy képet kiemelek magamnak is emlékeztetőül. Látszik, hogy a sima kódok 200-on futnak, az IE protected modeban 100-on. Majd írok még a részletekről, ha már többet láttam az egészből.

Integrity Control szintek

No Comments

No comments yet.

RSS feed for comments on this post.

Sorry, the comment form is closed at this time.

Powered by WordPress