Глупости какие-то. Ощущение будто либо вы троллите, либо у вас юристы не те. Ничего личного, но эти две фразы как-то противоречивы. Как можно привлечь к ответственности если не нашли доказательств?
Подразумевается, что вредонос работает из под той же учеткой. Обходов уак существует уйма. В W10 например есть незакрытый через eventvwr
> Если другими средствами проведена эскалация прав до админских, то собственно уже не важно какими средствами будет убиваться система
Почему убиваться? Тут вопрос стоит в закреплении. Время когда вредоносы убивали систему прошло давно.
> Шифруется ли диск, на котором живет BCD? Надо проверять, удастся ли изменить BCD при загрузке с внешней
Че вы несете? Извините за грубость. Даже через обычный канал попадет вредонос на учетку админскую уже не получится прогрузиться в безопасном, чтобы вынести заразу.
Вы видимо не понимаете, что перехват API происходит в памяти и не важно где bcd находится, вообше не важно что где находится, ибо это все в одном месте — в виртуальной памяти.
> точнее доказательств этого не нашли
Глупости какие-то. Ощущение будто либо вы троллите, либо у вас юристы не те. Ничего личного, но эти две фразы как-то противоречивы. Как можно привлечь к ответственности если не нашли доказательств?
> Если другими средствами проведена эскалация прав до админских, то собственно уже не важно какими средствами будет убиваться система
Почему убиваться? Тут вопрос стоит в закреплении. Время когда вредоносы убивали систему прошло давно.
> Шифруется ли диск, на котором живет BCD? Надо проверять, удастся ли изменить BCD при загрузке с внешней
Че вы несете? Извините за грубость. Даже через обычный канал попадет вредонос на учетку админскую уже не получится прогрузиться в безопасном, чтобы вынести заразу.
Вы видимо не понимаете, что перехват API происходит в памяти и не важно где bcd находится, вообше не важно что где находится, ибо это все в одном месте — в виртуальной памяти.
Я не знаю))
Ведь способ входа через bcdedit легко перехватывается вредоносами еще на уровне пользователя.
Инжект кода в explorer.exe -> перехват NtCreateProcess, в инжект кода в каждый процесс создаваемый этой функцией, если это не bcdedit.
Если это bcdedit — вызов функции SetLastError(ERROR_ACCESS_DENIED);
При помощи таких библиотек, как Minhook это делается за пол часа и запретит вход в безопасный режим.
Теперь вопрос: Нафига MS сделали это таким образом?