Como um navegador pode interceptar ctrl-alt-del?

2

Então, recebi uma chamada de suporte de alguém que estava navegando na Web com o Chrome e recebi uma mensagem pop-up dizendo que o computador deles estava infectado por um vírus. Era um golpe bastante normal "assusta-te a dar-nos o número do seu cartão de crédito", e trancou o browser para que o utilizador não pudesse fazer nada, nem mesmo sair. Normalmente, eu ando com o usuário usando Ctrl - Alt - Del para matar o navegador, então reinicie-o sem abas abertas , mas desta vez, o código pop-up conseguiu bloquear isso também.

Eu acho que a idéia por trás dessa sequência de teclas é que ela não pode ser interceptada por nenhum programa no nível do usuário (por exemplo, um navegador da web). Como esse golpe foi contornado?

    
por Mark 22.09.2017 / 23:44

1 resposta

4

Não pode. *

A seqüência Ctrl + Alt + Del (também conhecida como Secure Attention Sequence) só pode ser "ouvida" pelo kernel do Windows. Portanto, para desabilitar ou alterar de alguma forma o modo como o Windows responde ao SAS requer privilégios no nível do kernel, o código que está sendo executado no navegador não tem.

Aqui estão algumas outras explicações possíveis (ou seja, adivinhações) sobre o que aconteceu:

  • O usuário não entendeu e não pressionou a combinação correta de chaves

  • O computador ficou bloqueado e não pôde processar nenhuma instrução. No futuro, você pode testar isso fazendo coisas como (em ordem de confiabilidade):

    • Pressione a tecla Num Lock e observe se a luz indicadora do teclado está ativada / desativada. Isso não acontecerá em um PC bloqueado.

    • Efetue ping no computador. Uma máquina bloqueada não pode gerar uma resposta de ICMP (a exceção pode ser um sistema com recursos de descarregamento de NIC).

    • Desconecte / reconecte um dispositivo USB e ouça a notificação de áudio correspondente de que essa ação ocorreu.

  • A página da web estava executando código que maximizou a CPU, tornando o sistema lento para responder. Ainda assim, tentativas repetidas na seqüência do SAS devem eventualmente funcionar. Além disso, o navegador deve detectar a condição e oferecer para finalizar o script.

Conclusão: o código do modo de usuário (o navegador e o código executado por páginas da Web) não pode alterar o comportamento da resposta do sistema à Seqüência de Atenção Segura.

* Estou excluindo a possibilidade de uma exploração do kernel nesta resposta.

    
por 23.09.2017 / 16:12