100% accesso I/O al disco rigido: cause? soluzioni?

OS X, Linux e tutti gli altri OS

Re: 100% accesso I/O al disco rigido: cause? soluzioni?

Messaggioda AMG_Novice_Usr » mar apr 27, 2021 10:32 am

esiste un piccolo strumentino che mostra le periferiche USB montate dove puoi smontare tutto quello che ti pare,
una volta smontata una pennina questa per essere visualizzata deve essere nuovamente montata


Come si chiama questa utility?
Avatar utente
AMG_Novice_Usr

Veterano
 
Messaggi: 271
Iscritto il: ven mag 01, 2020 10:10 am
Località: Pisa

Re: 100% accesso I/O al disco rigido: cause? soluzioni?

Messaggioda AMG_Novice_Usr » mar apr 27, 2021 3:28 pm

basta montare un qualsiasi sistema windows per avere tutti i diritti di accesso su qualsiasi
file creato all'interno di una qualsiasi macchina windows
...
un esempio prendo un hard-disk con windows lo monto con VMWare (o meglio lo replico)
e posso fare qualsiasi cosa perchè al quel punto tutte le protezioni in uso non sono più valide :-)


Ho fatto una prova, ma il responso che ho ottenuto mi convince del fatto che le cose non stiamo così.

Ho usato Oracle Virtual Box, che contrariamente a VMWare è pienamente gratuito, credo addirittura open-source.

Il mio sistema host è un Win10-Home edition.

Essendo la mia CPU-host un Intel (i5), e non un AMD, come primo step ho dovuto abilitare il servizio VT-x dal bios: ho infatti
scoperto che VT-x nelle CPU Intel è di default disabilitato (per lo meno, nel mio caso lo era), quindi ho abilitato a manina,
dal bios, il servizio di virtualizzazione dell'HW messo a disposizione dalla CPU.

Nelle CPU AMD l'analogo servizio AMD-v è sempre abilitato, ma non è il mio caso.

Inoltre (fortunatamente) non avevo l'applicazione di virtualizzazione di macchina by Microsoft "Hyper-v" (servizio "prepotente") che si
impossessava dei servizi VT-x, quindi almeno questo problema non l'ho avuto (quindi non ho dovuto disabilitare Hyper-v per
consentire all'app VBox di prendere possesso dei servizi erogati da VT-x).

Insomma, alla fine della fiera, ho fatto girare un sistema guest Win7-Ultimate su VBox.

Ebbene ... ho provato ad aprire "System Volume Information" sul sistema guest Win7-Ultimate su VBox, ma il risultato (me lo aspettavo)
è stato questo:

https://drive.google.com/file/d/15-Hy7s ... 15DPs/view


Dimostrazione che un OS non perde la sua "natura", nella fattispecie il meccanismo di protezione per files e cartelle particolari, solo
perchè tale OS gira su macchina virtuale ... ed è giusto che sia così, altrimenti non sarebbe più fedele alla sua forma "su macchina reale".


Per avere la prova definitiva, farò la stessa cosa con VMWare (ho solo la sua versione free), tante volte VMWare avesse una sorta di potere "unlocking", che invece abbiamo dimostrato non ha Oracle VBox ...
Avatar utente
AMG_Novice_Usr

Veterano
 
Messaggi: 271
Iscritto il: ven mag 01, 2020 10:10 am
Località: Pisa

Re: 100% accesso I/O al disco rigido: cause? soluzioni?

Messaggioda white » mar apr 27, 2021 3:39 pm

@AMG_Novice_Usr

non voglio approfondire il discorso, perchè gli strumenti sono tanti e tali che non è che fai tutto con un click :-)
ovviamente parlando di "hacking" ma non voglio impantanarmi con questo discorso.
le procedure sono diverse è un po' di documentazione e approfondimenti andrebbero fatti con tool specifici.
insomma non è che monti l'hard disk ed hai finito quelle cose si vedono solo nei film.

dovresti cercare documentazione inerente a questo come lo si fa' per qualsiasi guida che riguarda l'informatica.
anche solo per curiosità, ma poi alla fine per quale scopo ?
white

Maestro
 
Messaggi: 520
Iscritto il: mer ago 07, 2019 11:39 am

Re: 100% accesso I/O al disco rigido: cause? soluzioni?

Messaggioda AMG_Novice_Usr » mar apr 27, 2021 3:41 pm

basta montare un qualsiasi sistema windows per avere tutti i diritti di accesso su qualsiasi
file creato all'interno di una qualsiasi macchina windows
...
un esempio prendo un hard-disk con windows lo monto con VMWare (o meglio lo replico)
e posso fare qualsiasi cosa perchè al quel punto tutte le protezioni in uso non sono più valide :-)


Ovviamente appena sono diventato proprietario della cartella "System Volume Information" (utente correntemente online = io = diventato owner della cartella: su "System Volume Information" ho fatto "proprietà -> sicurezza -> avanzate -> bla bla bla ..."), tutto è filato liscio come nella cartella "System Volume Information" del sistema host Win10, ovvero sono riuscito ad entrarci, in quanto owner, a vederne la dimensione effettiva (non più 0 bytes), ecc ...

Quindi VBox non ha deformato le caratteristiche nè dell'OS montato su macchina virtuale, nè del filesystem (NTFS) con cui è stata formattata la partizione C: nel disco rigido HDD virtuale (.vdi) nel quale ho installato l'OS guest "Win7-Ultimate" partendo da un disco ottico virtuale .iso
Avatar utente
AMG_Novice_Usr

Veterano
 
Messaggi: 271
Iscritto il: ven mag 01, 2020 10:10 am
Località: Pisa

Re: 100% accesso I/O al disco rigido: cause? soluzioni?

Messaggioda AMG_Novice_Usr » mar apr 27, 2021 3:52 pm

anche solo per curiosità, ma poi alla fine per quale scopo ?


Curiosità fine a se stessa (sono sempre stato curioso, mai accontentarsi).
Capire come funzionano veramente le cose, e non come crediamo che funzionino :-)

Insomma, in ambito forense l'utilizzo di VBox che monta quel guest "Win7-Ultimate 32 bit" non mi avrebbe consentito di mettere le mani dentro a quella cartella.

Le mani nella cartella ce le metti soltanto se diventi proprietario della stessa, ma questo lo fai anche su macchina reale, quindi abbiamo dimostrato che VBox (adesso va dimostrato anche per VMWare ... non si sa mai!) non conferisce di per sè "unlocking-powers" all'utilizzatore, nei confronti dei sistemi guest ...

O per lo meno, tali poteri non sono di default nelle nostre mani ... era solo per capire!
Avatar utente
AMG_Novice_Usr

Veterano
 
Messaggi: 271
Iscritto il: ven mag 01, 2020 10:10 am
Località: Pisa

Re: 100% accesso I/O al disco rigido: cause? soluzioni?

Messaggioda white » mar apr 27, 2021 4:03 pm

@AMG_Novice_Usr
non devi dimostrare nulla :-)
però fai bene ad approfondire

però non ti fermare alla cartella facendo proprietà per vedere se hai risolto
inizia ad approfondire il discorso e leggiti cosa potresti fare a riguardo e quali tool esistono e come replicare una macchina in VM
magari ti appassioni all'argomento.
white

Maestro
 
Messaggi: 520
Iscritto il: mer ago 07, 2019 11:39 am

Re: 100% accesso I/O al disco rigido: cause? soluzioni?

Messaggioda white » mar apr 27, 2021 4:10 pm

Potresti partire da qui se hai voglia:
e usare questo tool Sleuth Kit per iniziare,
https://www.youtube.com/watch?v=R-IE2j04Chc

per il resto io non mi ci sono mai appassionato preferisco parlare di amiga
white

Maestro
 
Messaggi: 520
Iscritto il: mer ago 07, 2019 11:39 am

Re: 100% accesso I/O al disco rigido: cause? soluzioni?

Messaggioda AMG_Novice_Usr » mar apr 27, 2021 4:17 pm

basta montare un qualsiasi sistema windows per avere tutti i diritti di accesso su qualsiasi
file creato all'interno di una qualsiasi macchina windows
...
un esempio prendo un hard-disk con windows lo monto con VMWare (o meglio lo replico)
e posso fare qualsiasi cosa perchè al quel punto tutte le protezioni in uso non sono più valide :-)


Va detta anche un'altra cosa:

ho fatto la stessa identica prova montando su macchina virtuale (sempre VBox) un sistema guest del tipo "WinXP-64bit-english".

Ho provato ad entrare in "System Volume Information" e ... ed entra! Come se la cartella in questione NON fosse protetta.

https://drive.google.com/file/d/17LErRH ... nv0HV/view

Come mai?

Ho formattato il disco.vdi, su cui ho installato WinXP partendo da un disco ottico virtuale .iso, in filesystem NTFS, e non in FAT, poichè con FAT mi aspettavo di non avere meccanismi di protezione/sicurezza: vedi ad esempio quando inserisci una pennetta USB formattata in FAT32: la sua cartella "System Volume Information" è liberamente accessibile, cancellabile, ci puoi smanettare come vuoi, questo perchè il filesysyem FAT/FAT32 in generale NON implementa questi meccanismi di protezione ed accesso alle risorse tramite opportune credenziali ed ownerships ... corretto?

Pensavo, fra me e me (nella mia assoluta ignoranza):
"formatto il disco XP.vdi in NTFS, poi ci installo WinXP: in questo modo, dovrei avere i soliti meccanismi di credenziali accesso R/W utente singolo, gruppi, ecc ... ".
Invece, "System Volume Information" non ha opposto alcuna resistenza ... subito entrato.

Ho pensato che allora io fossi fin da subito l'owner di quella cartella, ergo ci posso entrare:

ho dato un'occhiata alle proprietà della cartella stessa, ma NON ho trovato riferimenti a sicurezza, proprietari ecc ...

https://drive.google.com/file/d/1H4SozV ... wDMIC/view
https://drive.google.com/file/d/1oobeAZ ... SxvJm/view
https://drive.google.com/file/d/1tUTyxz ... lOivg/view
https://drive.google.com/file/d/1_-xHSP ... ctmcd/view

Forse devo smanettare ancora un pò, tuttavia la mia domanda è:

WinXP prevede i meccanismi di protezione R/W con credenziali utente, gruppi ecc, come nel caso di Win7 e Win10?
Oppure le cose funzionano in modo diverso?
Perchè sono entrato subito in "System Volume Information", senza fare nulla?

I meccanismi di protezione legati all'utente singolo oppure ai gruppi (stile Win7/Win10) sono dovuti all'OS oppure al filesystem?

Da questa ultima prova fatta da me con WinXP, sembrerebbe che tali "protezioni" siano dovute all'OS tutto, nella sua interezza, e non al filesystem con cui è formattata la partizione di sistema.
Se NTFS avesse racchiuso in sè questi meccanismi di protezione/accesso limitato, anche in WinXP il mio tentativo di accesso a "System Volume Information" avrebbe rimbalzato la prima volta ... corretto?
Avatar utente
AMG_Novice_Usr

Veterano
 
Messaggi: 271
Iscritto il: ven mag 01, 2020 10:10 am
Località: Pisa

Re: 100% accesso I/O al disco rigido: cause? soluzioni?

Messaggioda AMG_Novice_Usr » mar apr 27, 2021 4:40 pm

come replicare una macchina in VM


"Replicare" non vuol dire semplicemente "montare", "far girare"?
La mia è una domanda da ignorante, mi sono appena affacciato al mondo delle VM ...

In soldoni, quello che per adesso ho fatto è creare una VM assegnandole un sotto-insieme della mia RAM (tot % di RAM fisica dell'host), una CPU sulle 4 disponibili, su un bus IDE oppure SATA impostare un lettore ottico virtuale .iso, che coincide con l'immagine.iso di un OS che avevo nei miei backup passati (WinXP.iso, Win7-Ultimate.iso ecc ...), un disco rigido (non SSD).vdi, allocato in modo dinamico con un limite prefissato massimo (es: max 30GB), priorità di boot massima data al lettore ottico.

Pertanto al primo avvio della VM, faccio l'installazione dell'OS.iso sul disco rigido virtuale .vdi, poi a fine installazione riavvio con disco ottico non più bootable, quindi avvio dal .vdi, e quindi parte la partizione bootable di sistema C: con l'OS appena installato ... tutto come se fossi su una macchina reale.

Ecco ... stando così le cose, io non sto già adesso "replicando" una macchina (Win7, WinXP, ecc ...) in VM?
Oppure nel vostro gergo "replicare" ha un senso più profondo?

Grazie delle delucidazioni! ;-)
Avatar utente
AMG_Novice_Usr

Veterano
 
Messaggi: 271
Iscritto il: ven mag 01, 2020 10:10 am
Località: Pisa

Re: 100% accesso I/O al disco rigido: cause? soluzioni?

Messaggioda AMIGASYSTEM » mar apr 27, 2021 4:50 pm

AMG_Novice_Usr ha scritto:-il catalogo.cat
-il file di informazioni e di (credo) installazione/montaggio.inf
-il driver vero e proprio.sys (è questo file .sys il driver, giusto?)


Il file di sistema .cat non è interessato al blocco delle porte USB, il file .inf in partica è la mountlist, questo è uno dei file da manipolare per bloccare il montaggio delle Pendriver e qualsiasi altro Vulume, l'altro è appunto il Driver con estensione .sys, ma per le pennime e i volumi USB si dovrà scegliere quelli nominati "usbstor". Come detto occhio a Win10 che ne ha più di uno backuppato che prenderà il posto di quello taroccato da te.

a che serve scrivere, dentro il file .inf:

In realtà non si scrive nulla, questo file viene creato e intallato dall'installer dei Driver, trovi questi file nei suoi archivi
VBoxUSB.sys = 1 (ovvero assegnare il booleano "1" al nome del driver) ??

Non conosco la funzione precisa di questo driver, basta rinominarlo per capire chi e come lo utilizza.


nell'immagine ho evidenziato, con 2 frecce verdi, 2 punti del file .inf nei quali sono indicati lo stesso path:

C:\Windows\System32\Drivers (path dove ho effettivamente trovato il driver VBoxUSB.sys)

cosa è esattamente questa indicazione, voglio dire, a cosa serve?


Qui non posso aiutarti perchè non conosco bene tutto il funzionamento dello script, sul web sicuramente troverai delle info più dettaglate.
Immagine - AROS One Home Site - AfA One - AROS One x86 - AROS One 68K - WinUAE OS 4.1 -

Miei AMIGA
Amiga 4000/Cyberstorm MK II/060/Picasso RAM 6MB Kick 3.1
Amiga 1200/030 Ram 16 Mega HD 500 MB
Amiga 1200/040 Ram 32 Mega HD 500 MB
Amiga 600 HD 20 MB
Amiga 600 Doppio Kickstart 2.05-1.3
Amiga 500 Plus Doppio Kickstart 204-1.3
Amiga 500
CD32/SX-32 MK1 RAM 8 MB HD 4G
CD32 Standard
Avatar utente
AMIGASYSTEM

Staff
 
Messaggi: 5510
Iscritto il: ven lug 25, 2008 8:39 pm
Località: Brindisi

Re: 100% accesso I/O al disco rigido: cause? soluzioni?

Messaggioda AMIGASYSTEM » mar apr 27, 2021 5:04 pm

AMG_Novice_Usr ha scritto:dalla letteratura si evince (almeno, io così ho capito) che quando tu inserisci per la prima volta una penna USB, Windows scatena il processo di indicizzazione "searchindexer.exe" (il servizio chiamato "Windows Search", nei servizi visibili dal pannellino chiamato da "services.msc", processo indicizzatore che io ho disabilitato) nei confronti del volume appena montato, quindi l'indicizzatore raccoglie le informazioni dal volume della pennetta USB, le immagazzina in modo non volatile da qualche parte in C: , inoltre Windows crea i 2 files dentro la cartella (non protetta, dato che il filesystem è FAT32, e non NTFS) "System Volume Information". Dentro il file "IndexerVolumeGuid", Windows scrive un numero, un codice seriale, diciamo.

Adesso non so di preciso quale processo funge da Plug and Play per il montaggio USB, certo che una pennina o altro volume montato al successivo collegamento non avrà più bisogno del montaggio perchè il sistema ha memorizzato la periferica e il suo Diver, e lo potrai vedere da Gestione Periferica o con quel programmino da me accennato.
il numero scritto in "IndexerVolumeGuid" è coinvolto anche nella preliminare fase di montaggio della penna USB?

Potrai scoprire questo quando di fornirò il link del programmino, una volta ripulito tutti i montaggi USB potrai verificare se i file citati da te esistono ancora, occhio se con quel programmino smonti tutte le periferiche USB, cesseranno di funzionare anche quelle ancora inserite nel PC, esempio Mouse e Tastiera, per farle funzionare basterà estrarle e reinserirle, in questo modo saranno montate come accadde la prima volta che le hai inserite nel PC.
Immagine - AROS One Home Site - AfA One - AROS One x86 - AROS One 68K - WinUAE OS 4.1 -

Miei AMIGA
Amiga 4000/Cyberstorm MK II/060/Picasso RAM 6MB Kick 3.1
Amiga 1200/030 Ram 16 Mega HD 500 MB
Amiga 1200/040 Ram 32 Mega HD 500 MB
Amiga 600 HD 20 MB
Amiga 600 Doppio Kickstart 2.05-1.3
Amiga 500 Plus Doppio Kickstart 204-1.3
Amiga 500
CD32/SX-32 MK1 RAM 8 MB HD 4G
CD32 Standard
Avatar utente
AMIGASYSTEM

Staff
 
Messaggi: 5510
Iscritto il: ven lug 25, 2008 8:39 pm
Località: Brindisi

Re: 100% accesso I/O al disco rigido: cause? soluzioni?

Messaggioda AMIGASYSTEM » mar apr 27, 2021 5:10 pm

AMG_Novice_Usr ha scritto:Come si chiama questa utility?


Si chiama USBDeview ed è un programma stand-alone QUI trovi il programma e la localizzazione in italiano (sotto fine pagina)
Immagine - AROS One Home Site - AfA One - AROS One x86 - AROS One 68K - WinUAE OS 4.1 -

Miei AMIGA
Amiga 4000/Cyberstorm MK II/060/Picasso RAM 6MB Kick 3.1
Amiga 1200/030 Ram 16 Mega HD 500 MB
Amiga 1200/040 Ram 32 Mega HD 500 MB
Amiga 600 HD 20 MB
Amiga 600 Doppio Kickstart 2.05-1.3
Amiga 500 Plus Doppio Kickstart 204-1.3
Amiga 500
CD32/SX-32 MK1 RAM 8 MB HD 4G
CD32 Standard
Avatar utente
AMIGASYSTEM

Staff
 
Messaggi: 5510
Iscritto il: ven lug 25, 2008 8:39 pm
Località: Brindisi

Re: 100% accesso I/O al disco rigido: cause? soluzioni?

Messaggioda AMIGASYSTEM » mar apr 27, 2021 5:22 pm

AMG_Novice_Usr ha scritto:Ebbene ... ho provato ad aprire "System Volume Information" sul sistema guest Win7-Ultimate su VBox, ma il risultato (me lo aspettavo)
Dimostrazione che un OS non perde la sua "natura", nella fattispecie il meccanismo di protezione per files e cartelle particolari, solo
perchè tale OS gira su macchina virtuale ... ed è giusto che sia così, altrimenti non sarebbe più fedele alla sua forma "su macchina reale".
.

Hai fatto una operazione su una cartella con protezione semplice, sarebbe stato ancora più complicat aprire una cartella sotto utente Windows con Passaword (intendo che per accedere a Windows questo utente deve mettere nome utente e passoword) poi a una cartella o file togli tutti gli accessi ad utenti, bene su questa cartella o file sicuramente non potrai accedere da VirtualBox ma neanche da Linux (salvo particolari smanettamenti da esperto)

Come già detto se una macchina Virtualizza o Emula come dovrebbe, l'OS si comporterà allo stesso modo di quello reale e rispetterà le stessere regole, se non fosse così allorà stiamo parlando di altro.

Allego un esempio come anche VMWare non può accedere neanche ad una mia cartella dove dal mio Win7 ho tolto tutti i diritti di accesso a qualsiasi utente anche Super Admin, nel primo Request la rischiesta di proseguire, nella seconda dopo aver premuto su "Continua" consiglia di accedere alla Scheda di Sicurezza dove un utente Admin può ripristinare tutto, ma sarà impossibile farlo da un utente non Admin.
Allegati
Protezione.jpg
Immagine - AROS One Home Site - AfA One - AROS One x86 - AROS One 68K - WinUAE OS 4.1 -

Miei AMIGA
Amiga 4000/Cyberstorm MK II/060/Picasso RAM 6MB Kick 3.1
Amiga 1200/030 Ram 16 Mega HD 500 MB
Amiga 1200/040 Ram 32 Mega HD 500 MB
Amiga 600 HD 20 MB
Amiga 600 Doppio Kickstart 2.05-1.3
Amiga 500 Plus Doppio Kickstart 204-1.3
Amiga 500
CD32/SX-32 MK1 RAM 8 MB HD 4G
CD32 Standard
Avatar utente
AMIGASYSTEM

Staff
 
Messaggi: 5510
Iscritto il: ven lug 25, 2008 8:39 pm
Località: Brindisi

Re: 100% accesso I/O al disco rigido: cause? soluzioni?

Messaggioda AMIGASYSTEM » mar apr 27, 2021 6:28 pm

AMG_Novice_Usr ha scritto:I meccanismi di protezione legati all'utente singolo oppure ai gruppi (stile Win7/Win10) sono dovuti all'OS oppure al filesystem?

Sono dovuti ad entrambi, WinXP ma anche Win2000 possono gestire Protezioni Cartelle, File e Utenti come Win7/8/10 ma per poterlo fare dovranno installare il sistema sul filesytema NTFS (XP e Win2000) e poi non devono essere sistemi Home (XP), versioni Home sono limitate anche su alcune operazioni di Rete.
Immagine - AROS One Home Site - AfA One - AROS One x86 - AROS One 68K - WinUAE OS 4.1 -

Miei AMIGA
Amiga 4000/Cyberstorm MK II/060/Picasso RAM 6MB Kick 3.1
Amiga 1200/030 Ram 16 Mega HD 500 MB
Amiga 1200/040 Ram 32 Mega HD 500 MB
Amiga 600 HD 20 MB
Amiga 600 Doppio Kickstart 2.05-1.3
Amiga 500 Plus Doppio Kickstart 204-1.3
Amiga 500
CD32/SX-32 MK1 RAM 8 MB HD 4G
CD32 Standard
Avatar utente
AMIGASYSTEM

Staff
 
Messaggi: 5510
Iscritto il: ven lug 25, 2008 8:39 pm
Località: Brindisi

Re: 100% accesso I/O al disco rigido: cause? soluzioni?

Messaggioda AMG_Novice_Usr » mar apr 27, 2021 7:46 pm

domandina:

con riferimento all'esperimento nel quale ho montato su VM (VBox) l'OS Win7-Ultimate, e all'inizio non riuscivo ad entrare (come è giusto che sia) nella cartella "System Volume Information" (in quanto, inizialmente, di default, non ero proprietario della stessa).

Prima ancora di andare su:

System Volume Information -> proprietà -> sicurezza -> avanzate -> ecc ...

come primo tentativo, avevo fatto questo:

https://drive.google.com/file/d/1O2hmEn ... IQrq0/view

"take-ownership" della cartella "System Volume Information".

L'esito è stato negativo!
Dopo aver fatto ciò, ancora non ero in grado di accedere alla cartella.
è normale che in Win7-Ultimate l'opzione "take-ownership" non risolva l'accesso ad una cartella protetta in modo semplice, ovvero
una cartella alla quale inizialmente non accedi perchè non ne sei l'owner?

Con il "take-ownership", dovresti essere diventato l'owner della cartella, quindi dovresti riuscire ad entravi ... e invece no!

La versione del mio Win7 è questa:

https://drive.google.com/file/d/1HGgJTy ... xTGKC/view
Avatar utente
AMG_Novice_Usr

Veterano
 
Messaggi: 271
Iscritto il: ven mag 01, 2020 10:10 am
Località: Pisa

PrecedenteProssimo

Torna a Altri sistemi operativi

Chi c’è in linea

Visitano il forum: Majestic-12 [Bot] e 1 ospite