RegReplaceKey из приложения сервиса (от Locsl system)

@AVolkof · Регистрация: 02.01.2016

Author24 — интернет-сервис помощи студентам

Доброго времени.
Нижеприведенный код работает при запуске приложения от имени администратора,
а также из приложения, запущенного через планировщик от имени пользователя "система".
Если же ту же программу запустить из сервиса, работающего под учеткой "Local system",
то Reg.ReplaceKey не отрабатывает, возвращая false.
Если заменить на API-шную RegReplaceKey, то возвращает 5 (отказано в доступе).
По идее, привилегии бэкап и ресторе должны быть, и даже MSDN запрещает их получать,
но я всё равно пробовал )
Что винде не нравится?

Delphi

function RegOffReplace(const HiveName: string; const HiveFile: string): boolean;
 const
 KEY_WOW64_64KEY = $0100;
var
 Reg: TRegistry;
 bakup: string;
 PatchedFile: string;
begin
 Result:= false;
 PatchedFile:= HiveFile;
 bakup:= PatchedFile+'.bakup';
 Reg:=TRegistry.Create(KEY_ALL_ACCESS);
 Reg.RootKey:=HKEY_LOCAL_MACHINE;
 Reg.Access := KEY_WOW64_64KEY or KEY_ALL_ACCESS;
 if Reg.ReplaceKey(HiveName,PatchedFile,bakup) then Result:= true;
 CopyFile(PChar(PatchedFile),PChar(PatchedFile+'.test'), false); // Для проверки, работает
end;

@qwertehok · 01.10.2017, 07:56

Сообщение от AVolkof

код работает при запуске приложения от имени администратора, а также из приложения, запущенного через планировщик от имени пользователя "система".

Сообщение от AVolkof

Если же ту же программу запустить из сервиса, работающего под учеткой "Local system",
то RegReplaceKey, то возвращает 5 (отказано в доступе).

Сообщение от AVolkof

Что винде не нравится?

ты сам ответил на свой вопрос

ЗЫ ты хочешь весь реестр забекапить? зачем?

@AVolkof · 01.10.2017, 08:53 **[ТС]**

С бэкапом проблем нет. Иногда возникает проблема с правкой реестра.
Например, Baidu- образные зверьки хорошо себя защищают. Или остатки некорректно
удаленного антивируса (драйвер) убрать нужно.
Я могу выгружать реестр, править его "напрямую", по смещениям в файле менять dword-ы ,
бинарные данные и строки (не меняя длины). А вот с Replace - проблема.
Всякие бесплатные авасты и прочие 360Total тупо не дают ничего делать,
молча запуская мою программу в песочнице. А меня это бесит.
Пытаюсь использовать HiJacking, написал DLL, системная служба её подхватывает, без проблем
запускает мой вспомогательный файл, пишет в "труднодоступные" ключи реестра, а вот на RegReplace
обламывается. Я не могу понять причину.

Убежденный · 01.10.2017, 09:20

Сообщение от AVolkof

По идее, привилегии бэкап и ресторе должны быть

У LocalSystem есть эти привилегии, но они по умолчанию отключены.
Чтобы функция RegReplaceKey работала корректно, привилегии сначала нужно включить.

Сообщение от AVolkof

Всякие бесплатные авасты и прочие 360Total тупо не дают ничего делать,
молча запуская мою программу в песочнице. А меня это бесит.
Пытаюсь использовать HiJacking, написал DLL, системная служба её подхватывает, без проблем
запускает мой вспомогательный файл, пишет в "труднодоступные" ключи реестра, а вот на RegReplace
обламывается. Я не могу понять причину.

А причина может быть в том, что у антивирусов и прочих программ могут быть установлены
перехватчики реестра - CmRegisterCallback(Ex) и с этим ты ничего не сделаешь.

@AVolkof · 01.10.2017, 09:31 **[ТС]**

Привилегии включены.
Ведь код работает, если запускаю "мышкой" "от имени администратора".
Что до перехвата, то тестирую на своей машине, с "касперским", а он не мешает.
Хотел попробовать работать из "доверенного" процесса. Это может сработать,
а может и нет. Но, пока это вообще не работает, если в контексте Local system.
И где написано про такие ограничения я найти не могу.

@qwertehok 5395 / 4323 / 1060 Регистрация: 29.08.2013 Сообщений: 27,135 Записей в блоге: 3
	01.10.2017, 07:56	2
	Сообщение от AVolkof код работает при запуске приложения от имени администратора, а также из приложения, запущенного через планировщик от имени пользователя "система". Сообщение от AVolkof Если же ту же программу запустить из сервиса, работающего под учеткой "Local system", то RegReplaceKey, то возвращает 5 (отказано в доступе). Сообщение от AVolkof Что винде не нравится? ты сам ответил на свой вопрос ЗЫ ты хочешь весь реестр забекапить? зачем? 0

@AVolkof 2 / 2 / 0 Регистрация: 02.01.2016 Сообщений: 82 Записей в блоге: 2
	01.10.2017, 08:53 [ТС]	3
	С бэкапом проблем нет. Иногда возникает проблема с правкой реестра. Например, Baidu- образные зверьки хорошо себя защищают. Или остатки некорректно удаленного антивируса (драйвер) убрать нужно. Я могу выгружать реестр, править его "напрямую", по смещениям в файле менять dword-ы , бинарные данные и строки (не меняя длины). А вот с Replace - проблема. Всякие бесплатные авасты и прочие 360Total тупо не дают ничего делать, молча запуская мою программу в песочнице. А меня это бесит. Пытаюсь использовать HiJacking, написал DLL, системная служба её подхватывает, без проблем запускает мой вспомогательный файл, пишет в "труднодоступные" ключи реестра, а вот на RegReplace обламывается. Я не могу понять причину. 0

Убежденный Ушел с форума 16473 / 7436 / 1187 Регистрация: 02.05.2013 Сообщений: 11,617 Записей в блоге: 1
	01.10.2017, 09:20	4
	Сообщение от AVolkof По идее, привилегии бэкап и ресторе должны быть У LocalSystem есть эти привилегии, но они по умолчанию отключены. Чтобы функция RegReplaceKey работала корректно, привилегии сначала нужно включить. Сообщение от AVolkof Всякие бесплатные авасты и прочие 360Total тупо не дают ничего делать, молча запуская мою программу в песочнице. А меня это бесит. Пытаюсь использовать HiJacking, написал DLL, системная служба её подхватывает, без проблем запускает мой вспомогательный файл, пишет в "труднодоступные" ключи реестра, а вот на RegReplace обламывается. Я не могу понять причину. А причина может быть в том, что у антивирусов и прочих программ могут быть установлены перехватчики реестра - CmRegisterCallback(Ex) и с этим ты ничего не сделаешь. 0

@AVolkof 2 / 2 / 0 Регистрация: 02.01.2016 Сообщений: 82 Записей в блоге: 2
	01.10.2017, 09:31 [ТС]	5
	Привилегии включены. Ведь код работает, если запускаю "мышкой" "от имени администратора". Что до перехвата, то тестирую на своей машине, с "касперским", а он не мешает. Хотел попробовать работать из "доверенного" процесса. Это может сработать, а может и нет. Но, пока это вообще не работает, если в контексте Local system. И где написано про такие ограничения я найти не могу. 0