瑞星卡卡安全论坛

SREng扫描驱动或服务，会读取HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下的键值，这项默认注册表权限是administrators组完全控制，users仅有读取权限的，因此sreng即使是以基本用户安全级别运行，依然可以才创建其核心进程SRE***.EXE正常运行，正常扫描。
现在把services项下的某个服务项，这里以july为例，将其重设权限：


 附件: 您所在的用户组无法下载或查看附件


仅保留system组队其完全控制，这样我们是无法查看其具体信息的（不借助R0层工具），看：

 附件: 您所在的用户组无法下载或查看附件

右边窗口显示空白，可以看出吧。。。

但是sreng仍然能扫描到：

 附件: 您所在的用户组无法下载或查看附件

能看到其具体信息。。。
现在将july项权限设置为：

 附件: 您所在的用户组无法下载或查看附件

不允许system组对其读取，sreng扫描结果：

 附件: 您所在的用户组无法下载或查看附件

显示拒绝访问。。。

那sreng到底是不是提升自身权限到system呢？


sreng的主程序SREngldr.exe并没有比普通进程（explorer.exe执行的）的特权多。。。
srengldr.exe的权限：

 附件: 您所在的用户组无法下载或查看附件

任何一个普通用户进程都可以对其完全控制，哪怕是以受限身份运行的进程都可以结束它，因为受限的隶属于Backway这个特殊组，也拥有这个组的全部权限。
再看下sreng的核心进程sre***.exe：

 附件: 您所在的用户组无法下载或查看附件

其组有变化了~
Backway（创建的登录用户的特殊组）不变，多出来个everyone，
将几个权限标为拒绝：Terminate、Create thread  write memory  suspend/resume

 附件: 您所在的用户组无法下载或查看附件

但一般的进程（以不受限的身份运行）（比如一款普通进程管理工具）依旧可以对其操作（这里面不涉及到拒绝优先的问题？）
但以基本用户令牌启动的进程，对其操作显示：


 附件: 您所在的用户组无法下载或查看附件

这时侯起作用了？（以基用户方式启动的进程是不属于Backway这个“组”还是因为拒绝权优先才生效的？）


用其他服务扫描工具（R3的），对于某个服务项设置为system权限（包括完全控制），都不能扫描到这个服务的。。。

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.2; CIBA; .NET CLR 2.0.50727; MAXTHON 2.0)

你没重启试试。

特地重启试过了。。。
对了，以前你不也碰到过么，那个随机名服务设了权限，sreng扫描不到。。。

我仿照conficker的做法，把一能扫描的服务项设为system只有读取控制的权限，当时是能扫描出的，但重启后就扫描不出了。

还是能扫到得。。。像autoruns就扫描不到。。。

请楼主说明一下你的系统环境，如系统具体版本号以及语言，不同系统版本的结果可能不一样，以免大家尝试之后结果不一样却弄不清楚为什么。
还有我没搞清楚楼主的其中一些图是怎么搞出来的，尤其是倒数第二个图。

真不知他是什么环境，怎么和大多数人的情况不同。从未发现sreng能扫描出conficker的服务项。
另外对于sreng的提权问题，小H似乎没有提到提权的方法，而是谈到这个文件的权限问题。这里似乎应该提供一个进程图。如图
 附件: 您所在的用户组无法下载或查看附件
对于sreng提权问题，好像没发现有什么实际作用，真希望提权后有作用啊。

他的倒数第二个图，可能是倒数第三个图的那个“高级”限里的吧。

不好意思，可能没说清楚。。。
系统是XP sp3的，中文版
刚又试了，却又不能扫描出来了，可能和by说的要重启，昨天确实重启过了的。。

任务管理器里sreng：

 附件: 您所在的用户组无法下载或查看附件

后面那几个图是用process explorer查看的，现在又用任务管理器再看了一遍，能结束srengldr.exe，不能结束sreng的核心进程sre***.exe，我想是因为任务管理器对其没有访问权限，但它的用户名为当前登陆用户。
用process explorer查看srengldr.exe的被访问权限：

 附件: 您所在的用户组无法下载或查看附件

Backway组能对其有完全控制权，所以可以对其操作，哪怕是以基本用户身份运行的进程（可以在软件限制策略里开启，好像vista默认开启了，有不受限的，基本用户，不允许的三个安全级别）也可以操作它，因为它也隶属于backway这个特殊组。。。
再看核心进程sre***.exe，正如1楼贴的图：

 附件: 您所在的用户组无法下载或查看附件

Eeryone里将几个权限标记为拒绝：Terminate、Create thread  write memory  suspend/resume，这样原则上别的进程是无法读取其内存，更结束不了它。。。
用任务管理器结束它，确实结束不了：

 附件: 您所在的用户组无法下载或查看附件

拒绝访问。。。
但是用process explorer却直接结束它，这个又是为什么呢？

sreng提权后（以system运行）也扫描不出conficker的服务项，貌似那个“读取控制”和“读取”权限有很大差别，不知是什么意思。

读取控制只有注册表权限里才有，文件（夹）权限里没有这项。
读取控制有读取对象安全描述符的权限，不包括系统访问控制列表SACL。仅仅有读取控制的权限也无法对对象访问的。
参考：

 附件: 您所在的用户组无法下载或查看附件


以前那个conficker是把注册表中的服务项设为有特殊权限里的读取控制权限才导致sreng扫描不出来吧？
对注册表中的某个对象给与被读取权限时，默认包含特殊权限里的几个权限：查询数值  枚举子项  通知  读取控制


 附件: 您所在的用户组无法下载或查看附件

其实对于这种以权限逃避扫描工具扫描的，也可以不借助R0层的工具，将它上级目录权限重新继承到它身上就可以了。