Tools unter Vista

Der Prozess muss nur entsprechende Rechte besitzen - das muss nicht unbedingt "Admin" sein.

Zitat von Frabbing;698640

Wie reagiert Vista bei solchen Tools?

Das hängt von den Zugriffsrechten auf den jeweiligen Ordner ab - also wo das Programm installiert ist und davon, mit welchen Rechten die EXE gestartet wurde - siehe hier.
Im Augenblick wenig Zeit, kläre das noch genauer. Ohne Vista ist das nicht so einfach zu verstehen.

Zitat von Frabbing;699468

Ich möchte nur wissen, ob der Anwender immer wieder mit Messageboxen gequält wird, wenn ein Programm Dateien irgendwo erstellt, wo Vista es nichts erstellenswert findet, oder ob das eine einmalige Sache ist. Irgend ein Kompatibilitäts-Modus oder so... ich finde, solche Infos wären mal ganz interessant. :cool:

Nein, Vista meldet sich dort mit keiner Messagebox.

Was passiert ist unter Umständen viel schwerwiegender:
Was passiert also in welchen Fällen:
a) Das Setupprogramm holt sich keine Adminrechte von Vista und versucht in einen Ordner zu schreiben, wo einem normalen User die Schreibrechte fehlen (Beispiel C:\Programme\... bzw. C:\Program Files\...)
Vista erkennt das und schreibt beim Setup automatisch alle Dateien, ohne das dem User zu melden und ohne dass dieser andere Pfad dem User angezeigt wird, in den Ordner ->

Zitat

C:\Benutzer\Username\ AppData\Local\VirtualStore\Program Files\...

Wird die so installierte Anwendung mit Adminrechten ausgeführt, findet sie die eigenen Dateien evtl. nicht, da sie die in C:\Programme sucht und nicht in ...VirtualStore\Program Files....

b) Das Setupprogramm holt sich Adminrechte von Vista und versucht in einen Ordner zu schreiben, wo einem normalen User die Schreibrechte fehlen (Beispiel C:\Programme\... bzw. C:\Program Files\...)
Wird die so installierte Anwendung ohne Adminrechte ausgeführt, erstellt die Anwendung alle neuen Dateien in dem Ordner

Zitat

C:\Benutzer\Username\ AppData\Local\VirtualStore\Program Files\...

und nicht im Ordner C:\Programme\...
Wird das Programm irgendwann einmal mit Adminrechten ausgeführt, findet es diese neu erstellten Dateien nicht und arbeitet evtl. mit falschen Dateien, wenn sich im Ordfner C:\Programme\... noch ältere Versionen dieser Dateien befinden.

c) Das Setupprogramm wird über ein Manifest als AsInvoker ausgeführt und versucht in einen Ordner zu schreiben, wo einem normalen User die Schreibrechte fehlen (Beispiel C:\Programme\... bzw. C:\Program Files\...)
Das Setup kann dann gar nicht erst diese Dateien erstellen, da die Rechte zum Schreiben in C:\Programme fehlen und dieser Ordner durch das Manifest nicht in den Ordner

Zitat

C:\Benutzer\Username\ AppData\Local\VirtualStore\Program Files\...

gemappt wird.

Ist, wie gesagt, nicht einfach zu verstehen, wenn man kein Vista hat. Ich hoffe, das ist so verständlich...

Zitat von Frabbing;699468

XPIA beispielsweise soll seine Dateien nicht in APPDATA erstellen, weil sie da niemand finden kann.

Im Prinzip passiert das unter Umständen automatisch, egal ob du das möchtest oder nicht.

Zitat von Frabbing;699468

...wenn ein Programm Dateien irgendwo erstellt, wo Vista es nichts erstellenswert findet...

Dem ist nicht so, es geht um Sicherheit - und zwar um die Sicherheit, das jemand keine EXE Dateien auf dem Rechner ändern kann, dem das nicht erlaubt wurde.
Ein Virus kann das nicht ohne weiteres tun (EXE Dateien unter C:\Programme\... ändern), wenn er nur die normalen Rechte eines Admins hat und nicht den angehobenen Token.

Zitat von horsthorn;699528

Damit jetzt "alle Klarheiten beseitigt werden"
Wenn mein Setup-Programm das Verzeichnis C:\MEIN_ORDNER erstellt und in diesem Ordner mein Programm installiert, kann ich trotzdem in diesem Verzeichnis keine Dateien ablegen oder ändern, die von meinem Programm in diesem Ordner erstellt werden und editiert werden sollen

Standardmäßig gibt es damit kein Problem - also normalerweise nein.

Zitat von horsthorn;699528

Wenn hier mit "JA" geantwortet wird, ist doch die ganze Programmiererei unter Vista und höher für'n A...

Im Prinzip wäre es das beste, dem eigenen Setup Programm über ein Manifest Adminrechte zu verleihen und den Ordner C:\Programme zu benutzen. Alle zu ändernden Daten kann man dann in der Anwendung selbst nach AppData auslagern - das wäre wohl das sinnvollste. Die EXE ist dann gegen Viren recht gut geschützt.

Hier noch die Erklärung, warum das so ist:

NT basierende Betriebsysteme gestatten einem User nur das mit einem Objekt (hier Ordner) zu tun, was einem User ausdrücklich erlaubt wird. Jedes Programm bekommt dazu eine Art Ausweis (Windows nennt das Access Token) verliehen, der Infos über den User erhält (unter anderem den Usernamen und die Gruppen, denen dieser User angehört). Beim Öffnen eines Handles muss dann dieser User als Parameter der jeweiligen API mit angeben, was er quasi mit Objekt tun möchte - mit welchen Rechten er also dieses Handle öffnen möchte. Windows überprüft dann, ob dem jeweiligen User diese Rechte überhaupt zugestanden werden - Windows überprüft dazu den Usernamen und die Gruppen, denen dieser User angehört. In einer Liste (genannt ACL) mit mehreren Eintragen (ACEs) speichert Windows, welchen Gruppen und Usern welche Rechte erlaubt oder verboten werden - wie gesagt, nur was erlaubt wird, wird auch gestattet. Wenn dem User irgendein angefordertes Recht nicht gestattet wird, schlägt das Öffnen des Handles mit dem GetLastError Fehlercode 5 fehlt. Vista umgeht einfach dieses "Fehlschlagen" und leitet dann auf einen Ordner um, auf den der entsprechende User die angeforderten Zugriffsrechte besitzt.
Hier mal die Gruppen im Token eines Admins ohne erweiterte Rechte:

Die Gruppe, die wichtig ist, habe ich markiert.

[Blockierte Grafik: http://www.postimage.org/aVKCXxA.jpg]
Und hier die Zugriffsrechte, die auf den Ordner C:\ bestehen, und zwar der Eintrag für die Gruppe, die da wichtig ist:
[Blockierte Grafik: http://www.postimage.org/aVKsnyr.jpg]
ier sieht man, dass der Eintrag dort an neue Unterordner weitervererbt wird - also besitzen alle neu erstellten Unterordner von C:\ standartmäßig alle Lese-(GENERIC_READ) und Schreibrechte (GENERIC_WRITE) für die Gruppe "Authentifizierte Benutzer". Ordner zu erstellen, in denen Dateien erstellt werden können, ist da unter C:\ also kein Problem.

Wie sieht das aber mit dem Ordner C:\Program Files aus?
[Blockierte Grafik: http://www.postimage.org/PqXdAfJ.jpg]
Wie man hier sieht, ist die einzige wirksame Gruppe die Gruppe "Benutzer", und die hat auf den Ordner C:\Program Files (= C:\Programme) und neu erstellte Ordner nur Leserechte.

Zitat von horsthorn;699544

Dann dürfte sich im Laufe der Zeit in ...\APPDATA ein ziemlicher Haufen Müll ansammeln.

Wenn kein Deinstallationsprogramm da ist, ja.

Zitat von horsthorn;699544

Zusätzlich bin ich ein Gegner davon, alle Programme in das Verzeichnis C:\Programme zu setzen. Es wird in meinen Augen damit immer unübersichtlicher.

Man kann auch andere Ordner mit den gleichen Rechten erstellen - ist, wie gesagt, ein Schutz gegen unbefugte Veränderung von EXE Dateien. Also, gerade in Firmen, recht sinnvoll und unumgänglich.

Zitat von horsthorn;699581

ACHTUNG ! - das ist nur eine Vision

Wenn das mit dieser Entwicklung auf dem WINDOWS-Sektor so weitergeht, werden wir in absehbarer Zeit einen Computer haben, der, bevor wir uns an unseren Computer zum Arbeiten setzen dürfen, zuerst prüft, ob wir überhaupt existieren und erst nach positiven Bescheid uns dann an den PC lässt

Wie war das mit dem "Master-Control-Programm" in TRON

Keine Vision sondern Realität:
Unter XP waren wir schon so weit, dass quasi jeder in fremde Rechner konnte um andere abzuzocken (Konto leerräumen etc. -> siehe zum Beispiel ntos.exe), ohne dass das von der geschädigten Person und dessen Virenscanner überhaupt bemerkt werden konnte. Das "Master Control Programm" läuft in solchen Fällen dann für andere Leute und nicht für dich. Zum Glück wird das jetzt anders, denn in Zukunft wird bereits das Betriebsystem in großen Teilen dafür sorgen, dass das "Master Control Programm" das tut, was der Anwender möchte und nicht das tut, was irgendein in Russland oder sonstwo sitzender Krimineller will.

Im Prinzip hat von uns hier keiner großartig Ahnung von Programmierung - und da schließe ich Roland mit ein. Es gibt aber sehr wohl Leute, die diese Ahnung besitzen - Leute, die dir ohne Probleme irgendwelche auf dem OS undokumentierte und im Hintergrund ablaufende Sachen daherbeten können und für die es Kinderspiel ist, diese Sachen mit eigenen Codes zu manipulieren. Solche Leute haben es nicht nötig, sich irgendwelche Sachen aus dem Netz zu suchen - die forschen selbst mittels Reverse Engineering. Diese Leute schreiben in der Regel nicht selbst Viren, sondern geben ihre Erkenntnisse in einer Form weiter, die dann jedes Kleinkind anwenden kann.
Wie soll dass denn weitergehen - etwa mit einem Betriebsystem das weiterhin kommentarlos alles zulässt, nur weil ein Admin am Rechner sitzt???

Das ist meine Sicht der Sache dazu.

Zitat von horsthorn;699608

MüllSchlucker
Du rennst bei mir offene Türen ein mit dem, was du schreibst. Leider ist es nun mal so, dass kleine elitäre Minderheiten (und dazu können heute auch Jugendliche gehören) die B-Systeme manipulieren können, wie sie wollen.

Dem ist nicht so. Um XP komplett auszuhebeln, muss man nicht zur "Elite" gehören, das ist das Problem. Die zur "Elite" gehören machen es denen, die eigentlich untere Stufe sind, sehr einfach das zu tun. Bereits fundierte Grundkenntnisse in Programmierung reichen da aus - deshalb auch Jugendliche.

Zitat von horsthorn;699608

Zusätzlich war ich schon immer der Meinung, dass die "großen Antivir-Programme" sich ihre Viren auf Bestellung von irgendwelchen kleinen Genies "backen" lassen.

Das ist auf jeden Fall nicht so. Kleine Genies backen keine Viren, das tun nur große Dummköpfe, die sich ihre Codes in der Regel aus den Erkenntnissen von Leuten holen, die es nicht nötig haben, Viren zu schreiben. Gegen das Wissen, dass sich über das Betriiebssystem XP bereits angehäuft hat, haben AntiVirenprogramme gar keine Chance mehr. Wie will man etwas wirkungsvoll bekämpfen, dass das OS bereits gekapert hat und sich eine Ebene über der eigenen Anwendung befindet und über DKOM-Modifikation das beeinflusst, was der Virenscanner zum Scannen benötigt?

Zitat von horsthorn;699608

Nur so können sie dann ihre "perfekte Software" verhöckern.
Nach der alten kaufmännischen Devise: Bedarf wecken, Bedarf decken ! - und wir (Otto Normal-User) müssen mitmachen - Leider

Die Software ist schon recht gut - da wird vieles bereits erkannt, da gibt es nichts zu meckern. Doch das Wissen über das OS ist im Augenblick viel weiter als der Stand der Virenscanner - und dieses Wissen ist praktisch von jedem anwendbar, der fundiertes Grundwissen über Programmierung hat. Wie gesagt, man muss kein Genie sein, im Gegenteil - und da liegt das Problem.