Почему я не могу работать в службе Windows или редактировать ее записи в реестре, несмотря на то, что я работаю как SYSTEM?

Question

Я пытаюсь изменить тип запуска (с автоматического на отключенный) службы Windows (случается, это служба ZoneAlarm vsmon) в Windows 7. Программа устанавливает разрешения для службы таким образом, что только учетная запись SYSTEM может вносить изменения.

Когда я работаю как администратор, например, следующая команда sc.exe

sc config vsmon start= disabled

выдает ошибку разрешений. Чтобы обойти это, я запустил командную строку от имени пользователя SYSTEM с помощью утилиты psexec .

psexec -i -s -d cmd.exe

Затем я подтвердил, что действительно работаю как SYSTEM:

whoami

который вывел:

nt authority\system

но я получил такую же ошибку разрешений.

Затем я запустил regedit из той же командной строки SYSTEM и убедился, что он действительно работает как SYSTEM:

Перейдите к ключу службы в HKLM\System\CurrentControlSet\Services\vsmon и попытайтесь изменить значение типа запуска вручную, но снова получили ошибку разрешений:

Наконец, в качестве теста я добавил «Все с полным контролем», но получил ту же ошибку.

Что дает?

Answer 1

Я не знаю наверняка, если Zone Alarm делает это, но я знаю, что ESET установит драйверы режима Kernal, которые контролируют всю активность ввода-вывода и предотвращают отключение собственной активной системы мониторинга (Помните, если вам было легко отключить тогда злоумышленнику будет легко отключить его). Этот драйвер режима ядра может отслеживать записи в системный реестр, а также перехватывать и блокировать их, даже если они получены от пользователя SYSTEM.

Обычно ваши два варианта - отключить активный мониторинг через графический интерфейс Zone Alarm, который не остановит службу, но может ускорить процесс (если вы поэтому пытаетесь отключить службу), или полностью удалить программу.