Por que não consigo operar em um serviço do Windows ou editar suas entradas de registro apesar de eu estar executando como SYSTEM?

Question

Por que não consigo operar em um serviço do Windows ou editar suas entradas de registro apesar de eu estar executando como SYSTEM?

#1 resposta do (3 votos)

1

Estou tentando alterar o tipo de inicialização (de automático para desativado) de um serviço do Windows (que por acaso é o serviço vsmon do ZoneAlarm) no Windows 7. O programa define permissões no serviço de modo que somente a conta SYSTEM possa fazer alterações .

Quandoestouexecutandocomoadministrador-equivalente,porexemplo,oseguintecomandosc.exe

scconfigvsmonstart=disabled

dáumerrodepermissão.Paracontornaresseproblema,inicieiumpromptdecomandocomoousuárioSYSTEMusandooutilitário psexec .

psexec -i -s -d cmd.exe

então confirmei que estava de fato funcionando como SYSTEM:

whoami

qual é o resultado:

nt authority\system

mas recebi o mesmo erro de permissões.

Em seguida, executei o regedit a partir do mesmo prompt de comando do SYSTEM e verifiquei que ele estava sendo executado como SYSTEM:

NavegueiparaachavedoserviçoemHKLM\System\CurrentControlSet\Services\vsmonetenteialterarovalordotipodeinicializaçãomanualmente,masnovamenterecebiumerrodepermissão:

Finalmente, como teste, adicionei Everyone com Full Control, mas recebi o mesmo erro.

O que dá?

permissions windows services windows-7 windows-registry

por Howiecamp 02.01.2014 / 06:10

1 resposta

Tags permissions windows services windows-7 windows-registry

Remover o Windows 8 Nag (qual executável para apagar?) [duplicado] Roteador por trás de um roteador

score 3 · Accepted Answer

Não sei ao certo se o Zone Alarm faz isso, mas sei que a ESET instalará drivers no modo kernal que monitoram toda a atividade de E / S e impedem que seu próprio sistema de monitoramento ativo seja desativado (Lembre-se, se foi fácil para desativá-lo, então seria fácil para o malware desativá-lo também). Esse driver de modo kernal poderia estar monitorando gravações no registro do sistema e interceptando-as e bloqueando-as, mesmo que elas viessem do usuário SYSTEM.

Normalmente, suas duas únicas opções são desativar o monitoramento ativo através da GUI do Zone Alarm, que não interrompe o serviço, mas pode acelerar as coisas (se é por isso que você está tentando desativar o serviço), ou desinstalar o programa completamente. / p>