Avatar
jt.e
Člen
Avatar
jt.e:

Zdravím, poraďte mi prosím, jak vytvořit aplikaci, která bez problémů upraví systémové soubory ve Windows 7.
Aplikaci dělám v Code::Blocks.

 
Odpovědět 26.5.2013 10:20
Avatar
Martin Dráb
Redaktor
Avatar
Martin Dráb:

Ahoj,

pokud potřebuješ, aby tvoje aplikace běžela pouze s oprávněním administrátora, tak budeš potřebovat vytvořit soubor .manifest, ve kterém toto specifikuješ. Tím zajistíš, že pokud se ji někdo pokusí spustit s nižšími než administrátorskými právy, objeví se onen známý dialog Kontroly uživatelských účtů. Nevím, zda pro to má Code::Blocks nějakou podporu. V MS Visual Studio je to záležitost na pár kliknutí.

Soubor .manifest by mohl vypadat třeba nějak takto:

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
  <trustInfo xmlns="urn:schemas-microsoft-com:asm.v3">
    <security>
      <requestedPrivileges>
        <requestedExecutionLevel level="requireAdministrator" uiAccess="false"></requestedExecutionLevel>
      </requestedPrivileges>
    </security>
  </trustInfo>
</assembly>

Překladač ale o něm musí vědět, aby jej zakomponoval do výsledné binárky.

Upozornění: ani administrátorská práva neznamenají automaticky možnost měnit libovolné nastavení systému (včetně obsahu systémových souborů a klíčů registru). Soubory a klíče reigstru jsou chráněny deskriptory zabezpečení (security descriptors), což jsou struktury, které určují, jací uživatelé mají jaká oprávnění (číst, měnit, spouštět...) k danému objektu. Jako administrátor máš ale oprávnění SeTakeOwnership­Privilege, které ti dovoluje se stát vlastníkem daných objektů (souborů, klíčů registru...). Jako vlastník pak můžeš měnit libovolné vlastnosti daných objektů včetně deskriptorů zabezpečení, což ti umožní získat požadovaný přístup. Samozřejmě je vhodné po takové operaci deskriptor zabezpečení vrátit do původního stavu.

Netvrdím, že práce s deskriptory zabezpečení je jednoduchá. Spíše mi to přišlo vždy jako docela otrava (pokud se má tvoje aplikace chovat hezky a nenechávat po sobě změny).

P. S. U klíčů registru ještě existuje jistý druh "podvodu", jak se přebírání vlastnictví vyhnout, ale pokud vím, tak toto tebe zrovna nezajímá. U souborů myslím nic takového přímo nejde.

Nahoru Odpovědět  +1 27.5.2013 13:39
2 + 2 = 5 for extremely large values of 2
Avatar
jt.e
Člen
Avatar
jt.e:

Ahoj, přihození manifestu do aplikace není žádný problém. Stačí do RC souboru hodit např. 1 24 "manifest.txt".
Ale aplikace spuštěná jako správce, pro můj účel nestačí, jak i píšeš.
Abych potřebné soubory změnit, musím převzít práva. Udělat to přes cmd, není žádný problém, ale jak na to programově, jsem zatím žádnou přehlednou ukázku na netu nenašel.

 
Nahoru Odpovědět 28.5.2013 17:06
Avatar
Martin Dráb
Redaktor
Avatar
Odpovídá na jt.e
Martin Dráb:

Ahoj,

postup by mohl vypadat nějak takto:

  1. zjistit vlastníka souboru (GetFileSecurity či GetKernelObjec­tSecurity). Tady je trochu problém, že k tomuto úkolu musíš být schopen získat k souboru oprávnění READ_CONTROL, což snad ale ke všem souborům, co potřebuješ, půjde.
  2. zjistit SID uživatele, pod kterým běží tvoje aplikace (LookupAccountSid, LookupAccountNa­me),
  3. změnit vlastníka daného objektu (SetFileSecurity, SetKernelObjec­tSecurity). Je potřeba daný soubor otevřít s oprávněním WRITE_OWNER, což by díky SeTakeOwnership­Privilege, kterým jako administrátor disponuješ (nebo si jej můžeš povolit), neměl být problém.

U klíčů registru je to obvykle jednodušší, protože stačí při pokusu o přístup ke klíči mít oprávnění SeBackupPrivilege a SeRestorePrivi­lege a použít příznak REG_OPTION_BAC­KUP_RESTORE při volání funkce RegCreateKeyEx či RegOpenKeyEx. U souborů o žádné takové možnosti nevím. Asi by fungovalo, kdybys k těm souborům přistupoval z režimu jádra jako ovladač, pak se na bezpečnost moc nehledí. Ale počítám, že takové řešení nechceš.

Nahoru Odpovědět 28.5.2013 21:29
2 + 2 = 5 for extremely large values of 2
Avatar
jt.e
Člen
Avatar
jt.e:

Díky moc, tohle mi určitě hodně pomůže.

 
Nahoru Odpovědět 29.5.2013 20:57
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 5 zpráv z 5.