Intrebare in legatura cu RAT si drepturile de administrator

[grandson]

Salut, am o intrebare care ma freaca zilele astea, daca am instalat diverse programe fara sa detin dreptul de administrator gen calculator de la munca pot lua virusul RAT ? ( Precizez ca nu pot instala in niciun fel un program care cere drepturile si nici nu am cum sa le impun )

Si mai vreau sa va intreb daca nu gasesc nimic dubios in regedit la Run si la cmd cu netstat -ano si tasklist asta inseamna ca nu am RAT corect?

Edited May 31, 2020 by grandson

[yoyois]

Uniii virusi pot folosi exploituri de privilege escalation ca sa ruleze ca administrator/system fara permisiune.

Alti virusi pot rula doar in user level(cam greu).

 

Doar faptul ca nu ai access ca admin nu insteamna ca esti imun.

 

In general pentru majoritatea virusilor luati din reclame/crackuri se duc la o scanare cu un Antivirus bun si un task-manager, reg, process explorer.

Din pacate nu poti fi niciodata 100% sigur.

[Guest]

Am observat ca o aplicatie ce ruleaza in user mode are destul de multe limitari cand vine vorba de manipulat diverse fisiere si locatii de sistem de prin AppData sau mai stiu eu, locatii de-astea importante. Cu asta m-am confruntat personal. Cred ca pentru un keylogger sau ceva stealer nu ai nevoie de admin rights.

Edited May 31, 2020 by Guest

[gigiRoman]

Cred ca se referea la user mode si kernel mode  nu la admin rights.

[Guest]

 

 

Pe windows si aplicatiile rulate cu admin rights ruleaza ring 3 sau user mode. Ideea este ca pe ring 3 aplicatiile pot rula sau nu cu admin rights, ceea ce este un factor important pentru malware. O aplicatie cu drepturi de administrator poate sa iti umble in locatii sensibile de sistem, si daca nu foloseste un privilege escalation sau ceva o sa apara promptul de la UAC. Cat despre aplicatii in kernel mode sau orice peste ring 3 aici discutam despre chestii avansate. Din ce am observat, majoritatea malware-ului interceptat de utilizatori in mod obisnuit nu este atat de avansat. Majoritatea malwareului ruleaza ring 3.

[Nytro]

Nu e relevant, un program care desi nu ruleaza ca Admin/SYSTEM tot poate sa faca o gramada de lucruri pe masina ta.