L>Юзера которых надо урезать в правах — понятно прав локального админа не имеют.
Отсутствия "прав локального админа" еще не все. Надо еще понимать, что гарантированно это все будет работать только в случае жесткого whitelisting'а исполняемых файлов (и не только ехе). Whitelisting нужен дабы злой юзер не мог исполнить код, который запустит "хороший" процесс и использует его в качестве лоадера для "плохого", причем лоадер просто тупо выделит PAGE_EXECUTE* странички и разложить в них содержимое злого ехе. Без этого глупо рассуждать о сферической крутости перехвата PspCreateProcess вместо Zw*CreateProcess* или фильтра над FS.
Как много веселых ребят, и все делают велосипед...
O>Надо еще понимать, что гарантированно это все будет работать только в случае жесткого whitelisting'а исполняемых файлов (и не только ехе). Whitelisting нужен дабы...
Тссс, ты что! Беду накликаешь же! Сейчас прибежит злобный Andrew.W Worobow и расскажет, какие мы тут все мудаки и как он запустит злонамеренный код в обход всех твоих списков и прочей бодяги. Перечитай тему полностью, если ещё не сделал этого. И вообще, народ, не трогайте эту тему, я вас прошу, моя нежная психика не выдержит ещё одного зубодробительного цирка. Уж лучше новую тему создайте.
А по мне так пусть придет Воробов и скажет свое мнение. И нечего людям рот закрывать.
То что Воробов где-то там ошибся когда-то, не говорит о том что он ошибается всегда.
В споре рождается истина. А еще, история показывает, что все споры ученых мужей
с таким вот перехедом на личности всегда тормозил научно-технический прогресс.
Приводите лучше примеры и факты чем таки сентименты.
