J'ai voulu utiliser FileMon, de SysInternals, et en profil
administrateur je me suis fait jeter :
Your account does not have the Debug Programs privilege, which is
required to run Filemon.
J'ai donc chargé le Windows Resource Kit, pour établir les droits. Dans
l'aide de ShowPriv, les seules occurrences du mot Debug concernent le
privilège SeDebugPrivilege.
Voilà ce que j'ai tapé, il y a deux choses que j'ai du mal à comprendre :
- la cohérence entre ce que dit ShowPriv et ce que dit TestAdmin
- le fait que je ne peux toujours pas utiliser FileMon après tout ça
(toujours le même message).
A moins qu'il y ait un autre privilège, pas documenté ...
(admin)
(username)
C:\Program Files\Windows Resource Kits\Tools>
showpriv SeDebugPrivilege
1 account(s) with the SeDebugPrivilege user right:
UC00003\admin
All accounts enumerated
Compte en cours : admin
Membre des groupes : Administrateurs
Ce compte est administrateur (AccessCheck)
Ce compte est administrateur (CheckTokenMembership)
Ce compte est administrateur (NetUserGetInfo)
Privilèges activés : SeChangeNotifyPrivilege (par défaut)
(Outrepasser le contrôle de défilement)
SeLoadDriverPrivilege
(Charger et décharger des pilotes de périphériques)
SeUndockPrivilege
(Retirer l'ordinateur de la station d'accueil)
SeImpersonatePrivilege (par défaut)
(Emprunter l'identité d'un client après
l'authentification)
SeCreateGlobalPrivilege (par défaut)
(Créer des objets globaux)
___________________________________________________
Ces résultats ont été enregistrés dans le fichier :
C:\Documents and Settings\admin\TestAdmin-UC00003-admin.txt
J'ai donc chargé le Windows Resource Kit, pour établir les droits. Dans l'aide de ShowPriv, les seules occurrences du mot Debug concernent le privilège SeDebugPrivilege.
Voilà ce que j'ai tapé, il y a deux choses que j'ai du mal à comprendre : - la cohérence entre ce que dit ShowPriv et ce que dit TestAdmin - le fait que je ne peux toujours pas utiliser FileMon après tout ça (toujours le même message).
Visiblement l'outil de JCB ne liste pas tous les privilèges. Car le debug, je l'ai bien (je viens de vérifier dans gpedit), et pourtant : Compte en cours : Nina Membre des groupes : Administrateurs Utilisateurs Ce compte est administrateur (AccessCheck) Ce compte est administrateur (CheckTokenMembership) Ce compte est administrateur (NetUserGetInfo) Privilèges activés : SeChangeNotifyPrivilege (par défaut) (Outrepasser le contrôle de défilement) SeLoadDriverPrivilege (Charger et décharger des pilotes de périphériques) SeUndockPrivilege (Retirer l'ordinateur de la station d'accueil) SeCreateGlobalPrivilege (par défaut) (Créer des objets globaux) SeImpersonatePrivilege (par défaut) (Emprunter l'identité d'un client après l'authentification)
Sinon, mon FileMon fonctionne très bien :-) -- Nina
On Tue, 15 Aug 2006 23:40:41 +0200, Gloops <gloops@niark.invalid>
wrote:
J'ai donc chargé le Windows Resource Kit, pour établir les droits. Dans
l'aide de ShowPriv, les seules occurrences du mot Debug concernent le
privilège SeDebugPrivilege.
Voilà ce que j'ai tapé, il y a deux choses que j'ai du mal à comprendre :
- la cohérence entre ce que dit ShowPriv et ce que dit TestAdmin
- le fait que je ne peux toujours pas utiliser FileMon après tout ça
(toujours le même message).
Visiblement l'outil de JCB ne liste pas tous les privilèges.
Car le debug, je l'ai bien (je viens de vérifier dans gpedit), et
pourtant :
Compte en cours : Nina
Membre des groupes : Administrateurs
Utilisateurs
Ce compte est administrateur (AccessCheck)
Ce compte est administrateur (CheckTokenMembership)
Ce compte est administrateur (NetUserGetInfo)
Privilèges activés : SeChangeNotifyPrivilege (par défaut)
(Outrepasser le contrôle de défilement)
SeLoadDriverPrivilege
(Charger et décharger des pilotes de
périphériques)
SeUndockPrivilege
(Retirer l'ordinateur de la station d'accueil)
SeCreateGlobalPrivilege (par défaut)
(Créer des objets globaux)
SeImpersonatePrivilege (par défaut)
(Emprunter l'identité d'un client après
l'authentification)
Sinon, mon FileMon fonctionne très bien :-)
--
Nina
J'ai donc chargé le Windows Resource Kit, pour établir les droits. Dans l'aide de ShowPriv, les seules occurrences du mot Debug concernent le privilège SeDebugPrivilege.
Voilà ce que j'ai tapé, il y a deux choses que j'ai du mal à comprendre : - la cohérence entre ce que dit ShowPriv et ce que dit TestAdmin - le fait que je ne peux toujours pas utiliser FileMon après tout ça (toujours le même message).
Visiblement l'outil de JCB ne liste pas tous les privilèges. Car le debug, je l'ai bien (je viens de vérifier dans gpedit), et pourtant : Compte en cours : Nina Membre des groupes : Administrateurs Utilisateurs Ce compte est administrateur (AccessCheck) Ce compte est administrateur (CheckTokenMembership) Ce compte est administrateur (NetUserGetInfo) Privilèges activés : SeChangeNotifyPrivilege (par défaut) (Outrepasser le contrôle de défilement) SeLoadDriverPrivilege (Charger et décharger des pilotes de périphériques) SeUndockPrivilege (Retirer l'ordinateur de la station d'accueil) SeCreateGlobalPrivilege (par défaut) (Créer des objets globaux) SeImpersonatePrivilege (par défaut) (Emprunter l'identité d'un client après l'authentification)
Sinon, mon FileMon fonctionne très bien :-) -- Nina
Nina Popravka
J'y songe... T'aurais pas fait des manips zarbis pour fermer ton port 135, par hasard ? -- Nina
J'y songe... T'aurais pas fait des manips zarbis pour fermer ton port
135, par hasard ?
--
Nina
J'y songe... T'aurais pas fait des manips zarbis pour fermer ton port 135, par hasard ? -- Nina
Gloops
Ah, c'était donc ça ...
On Tue, 15 Aug 2006 23:40:41 +0200, Gloops wrote:
J'ai donc chargé le Windows Resource Kit, pour établir les droits. Dans l'aide de ShowPriv, les seules occurrences du mot Debug concernent le privilège SeDebugPrivilege.
Voilà ce que j'ai tapé, il y a deux choses que j'ai du mal à comprendre : - la cohérence entre ce que dit ShowPriv et ce que dit TestAdmin - le fait que je ne peux toujours pas utiliser FileMon après tout ça (toujours le même message).
Visiblement l'outil de JCB ne liste pas tous les privilèges. Car le debug, je l'ai bien (je viens de vérifier dans gpedit), et pourtant : Compte en cours : Nina Membre des groupes : Administrateurs Utilisateurs Ce compte est administrateur (AccessCheck) Ce compte est administrateur (CheckTokenMembership) Ce compte est administrateur (NetUserGetInfo) Privilèges activés : SeChangeNotifyPrivilege (par défaut) (Outrepasser le contrôle de défilement) SeLoadDriverPrivilege (Charger et décharger des pilotes de périphériques) SeUndockPrivilege (Retirer l'ordinateur de la station d'accueil) SeCreateGlobalPrivilege (par défaut) (Créer des objets globaux) SeImpersonatePrivilege (par défaut) (Emprunter l'identité d'un client après l'authentification)
Sinon, mon FileMon fonctionne très bien :-)
Ah, c'était donc ça ...
On Tue, 15 Aug 2006 23:40:41 +0200, Gloops <gloops@niark.invalid>
wrote:
J'ai donc chargé le Windows Resource Kit, pour établir les droits. Dans
l'aide de ShowPriv, les seules occurrences du mot Debug concernent le
privilège SeDebugPrivilege.
Voilà ce que j'ai tapé, il y a deux choses que j'ai du mal à comprendre :
- la cohérence entre ce que dit ShowPriv et ce que dit TestAdmin
- le fait que je ne peux toujours pas utiliser FileMon après tout ça
(toujours le même message).
Visiblement l'outil de JCB ne liste pas tous les privilèges.
Car le debug, je l'ai bien (je viens de vérifier dans gpedit), et
pourtant :
Compte en cours : Nina
Membre des groupes : Administrateurs
Utilisateurs
Ce compte est administrateur (AccessCheck)
Ce compte est administrateur (CheckTokenMembership)
Ce compte est administrateur (NetUserGetInfo)
Privilèges activés : SeChangeNotifyPrivilege (par défaut)
(Outrepasser le contrôle de défilement)
SeLoadDriverPrivilege
(Charger et décharger des pilotes de
périphériques)
SeUndockPrivilege
(Retirer l'ordinateur de la station d'accueil)
SeCreateGlobalPrivilege (par défaut)
(Créer des objets globaux)
SeImpersonatePrivilege (par défaut)
(Emprunter l'identité d'un client après
l'authentification)
J'ai donc chargé le Windows Resource Kit, pour établir les droits. Dans l'aide de ShowPriv, les seules occurrences du mot Debug concernent le privilège SeDebugPrivilege.
Voilà ce que j'ai tapé, il y a deux choses que j'ai du mal à comprendre : - la cohérence entre ce que dit ShowPriv et ce que dit TestAdmin - le fait que je ne peux toujours pas utiliser FileMon après tout ça (toujours le même message).
Visiblement l'outil de JCB ne liste pas tous les privilèges. Car le debug, je l'ai bien (je viens de vérifier dans gpedit), et pourtant : Compte en cours : Nina Membre des groupes : Administrateurs Utilisateurs Ce compte est administrateur (AccessCheck) Ce compte est administrateur (CheckTokenMembership) Ce compte est administrateur (NetUserGetInfo) Privilèges activés : SeChangeNotifyPrivilege (par défaut) (Outrepasser le contrôle de défilement) SeLoadDriverPrivilege (Charger et décharger des pilotes de périphériques) SeUndockPrivilege (Retirer l'ordinateur de la station d'accueil) SeCreateGlobalPrivilege (par défaut) (Créer des objets globaux) SeImpersonatePrivilege (par défaut) (Emprunter l'identité d'un client après l'authentification)
Sinon, mon FileMon fonctionne très bien :-)
Gloops
J'y songe... T'aurais pas fait des manips zarbis pour fermer ton port 135, par hasard ?
Tu penses à quoi par exemple ?
J'y songe... T'aurais pas fait des manips zarbis pour fermer ton port
135, par hasard ?
J'y songe... T'aurais pas fait des manips zarbis pour fermer ton port 135, par hasard ?
Tu penses à quoi par exemple ?
Nina Popravka
On Wed, 16 Aug 2006 01:16:20 +0200, Gloops wrote:
Tu penses à quoi par exemple ? Je me trompe très probablement, mais j'ai cru voir des manips pour
arrêter DCOM et RPC dont je me demande si jusqu'à un certain point si ça ne pourrait pas gêner la machine dans des dialogues qu'elle aurait avec elle même. (mais ça fait longtemps que j'ai renoncé à comprendre les tenants et aboutissants des riches dialogues qu'un NT et suivants ont avec eux-même...) -- Nina
On Wed, 16 Aug 2006 01:16:20 +0200, Gloops <gloops@niark.invalid>
wrote:
Tu penses à quoi par exemple ?
Je me trompe très probablement, mais j'ai cru voir des manips pour
arrêter DCOM et RPC dont je me demande si jusqu'à un certain point si
ça ne pourrait pas gêner la machine dans des dialogues qu'elle aurait
avec elle même.
(mais ça fait longtemps que j'ai renoncé à comprendre les tenants et
aboutissants des riches dialogues qu'un NT et suivants ont avec
eux-même...)
--
Nina
Tu penses à quoi par exemple ? Je me trompe très probablement, mais j'ai cru voir des manips pour
arrêter DCOM et RPC dont je me demande si jusqu'à un certain point si ça ne pourrait pas gêner la machine dans des dialogues qu'elle aurait avec elle même. (mais ça fait longtemps que j'ai renoncé à comprendre les tenants et aboutissants des riches dialogues qu'un NT et suivants ont avec eux-même...) -- Nina
Gloops
On Wed, 16 Aug 2006 01:16:20 +0200, Gloops wrote:
Tu penses à quoi par exemple ? Je me trompe très probablement, mais j'ai cru voir des manips pour
arrêter DCOM et RPC
"à l'insu de mon plein gré", tu crois ? Ce que je me rappelle avoir arrêté comme services, c'est les clônes de RootkitRevealer.
Mais il est vrai qu'il y a des jours où j'ai une mémoire pas très glorieuse.
dont je me demande si jusqu'à un certain point si ça ne pourrait pas gêner la machine dans des dialogues qu'elle aurait avec elle même. (mais ça fait longtemps que j'ai renoncé à comprendre les tenants et aboutissants des riches dialogues qu'un NT et suivants ont avec eux-même...)
Dans la mesure où ce n'est pas indispensable de tout comprendre, peut-être ? Ou il y aura bien quelqu'un qui passera nous dire ...
On Wed, 16 Aug 2006 01:16:20 +0200, Gloops <gloops@niark.invalid>
wrote:
Tu penses à quoi par exemple ?
Je me trompe très probablement, mais j'ai cru voir des manips pour
arrêter DCOM et RPC
"à l'insu de mon plein gré", tu crois ?
Ce que je me rappelle avoir arrêté comme services, c'est les clônes de
RootkitRevealer.
Mais il est vrai qu'il y a des jours où j'ai une mémoire pas très glorieuse.
dont je me demande si jusqu'à un certain point si
ça ne pourrait pas gêner la machine dans des dialogues qu'elle aurait
avec elle même.
(mais ça fait longtemps que j'ai renoncé à comprendre les tenants et
aboutissants des riches dialogues qu'un NT et suivants ont avec
eux-même...)
Dans la mesure où ce n'est pas indispensable de tout comprendre,
peut-être ? Ou il y aura bien quelqu'un qui passera nous dire ...
Tu penses à quoi par exemple ? Je me trompe très probablement, mais j'ai cru voir des manips pour
arrêter DCOM et RPC
"à l'insu de mon plein gré", tu crois ? Ce que je me rappelle avoir arrêté comme services, c'est les clônes de RootkitRevealer.
Mais il est vrai qu'il y a des jours où j'ai une mémoire pas très glorieuse.
dont je me demande si jusqu'à un certain point si ça ne pourrait pas gêner la machine dans des dialogues qu'elle aurait avec elle même. (mais ça fait longtemps que j'ai renoncé à comprendre les tenants et aboutissants des riches dialogues qu'un NT et suivants ont avec eux-même...)
Dans la mesure où ce n'est pas indispensable de tout comprendre, peut-être ? Ou il y aura bien quelqu'un qui passera nous dire ...
Gloops
On Wed, 16 Aug 2006 01:16:20 +0200, Gloops wrote:
Tu penses à quoi par exemple ? Je me trompe très probablement, mais j'ai cru voir des manips pour
arrêter DCOM et RPC
J'y suis, ce n'est pas des manips que tu as vues, c'est le compte-rendu dans l'observatoire d'événements, comme quoi des bricoles n'arrivaient pas à se déclarer à DCOM, et ensuite ça empêchait quelque chose de s'exécuter.
Quant au pourquoi du comment, je ne me souviens pas qu'il ait été énoncé.
J'ai l'impression qu'on commence à en arriver à un point où ce sera dans Google que ce sera le plus facile de chercher dans ce qu'on a dit.
On Wed, 16 Aug 2006 01:16:20 +0200, Gloops <gloops@niark.invalid>
wrote:
Tu penses à quoi par exemple ?
Je me trompe très probablement, mais j'ai cru voir des manips pour
arrêter DCOM et RPC
J'y suis, ce n'est pas des manips que tu as vues, c'est le compte-rendu
dans l'observatoire d'événements, comme quoi des bricoles n'arrivaient
pas à se déclarer à DCOM, et ensuite ça empêchait quelque chose de
s'exécuter.
Quant au pourquoi du comment, je ne me souviens pas qu'il ait été énoncé.
J'ai l'impression qu'on commence à en arriver à un point où ce sera dans
Google que ce sera le plus facile de chercher dans ce qu'on a dit.
Tu penses à quoi par exemple ? Je me trompe très probablement, mais j'ai cru voir des manips pour
arrêter DCOM et RPC
J'y suis, ce n'est pas des manips que tu as vues, c'est le compte-rendu dans l'observatoire d'événements, comme quoi des bricoles n'arrivaient pas à se déclarer à DCOM, et ensuite ça empêchait quelque chose de s'exécuter.
Quant au pourquoi du comment, je ne me souviens pas qu'il ait été énoncé.
J'ai l'impression qu'on commence à en arriver à un point où ce sera dans Google que ce sera le plus facile de chercher dans ce qu'on a dit.
Nina Popravka
On Wed, 16 Aug 2006 09:55:20 +0200, Gloops wrote:
J'y suis, ce n'est pas des manips que tu as vues, c'est le compte-rendu dans l'observatoire d'événements, comme quoi des bricoles n'arrivaient pas à se déclarer à DCOM, et ensuite ça empêchait quelque chose de s'exécuter. Non... ce sont tes erreurs qui me font percuter à retardement parce
que je venais de tomber sur un site décrivant des manoeuvres dont certaines me semblaient dangereuses :-) -- Nina
On Wed, 16 Aug 2006 09:55:20 +0200, Gloops <gloops@niark.invalid>
wrote:
J'y suis, ce n'est pas des manips que tu as vues, c'est le compte-rendu
dans l'observatoire d'événements, comme quoi des bricoles n'arrivaient
pas à se déclarer à DCOM, et ensuite ça empêchait quelque chose de
s'exécuter.
Non... ce sont tes erreurs qui me font percuter à retardement parce
que je venais de tomber sur un site décrivant des manoeuvres dont
certaines me semblaient dangereuses :-)
--
Nina
J'y suis, ce n'est pas des manips que tu as vues, c'est le compte-rendu dans l'observatoire d'événements, comme quoi des bricoles n'arrivaient pas à se déclarer à DCOM, et ensuite ça empêchait quelque chose de s'exécuter. Non... ce sont tes erreurs qui me font percuter à retardement parce
que je venais de tomber sur un site décrivant des manoeuvres dont certaines me semblaient dangereuses :-) -- Nina
Gloops
Non... ce sont tes erreurs qui me font percuter à retardement parce que je venais de tomber sur un site décrivant des manoeuvres dont certaines me semblaient dangereuses :-)
Bon ... Pas ça alors ?
Non... ce sont tes erreurs qui me font percuter à retardement parce
que je venais de tomber sur un site décrivant des manoeuvres dont
certaines me semblaient dangereuses :-)
Non... ce sont tes erreurs qui me font percuter à retardement parce que je venais de tomber sur un site décrivant des manoeuvres dont certaines me semblaient dangereuses :-)
Bon ... Pas ça alors ?
Gloops
Grande nouvelle !
Piqué par je ne sais quelle mouche, cet après-midi, j'ai essayé FileMon, et il s'est avéré que çA MARCHE !
Je m'étais bien dit, après m'être accordé le droit seDebugPrivilege, qu'il allait falloir réessayer après avoir redémarré Windows, mais je ne jurerais pas devant l'échafaud que je n'ai pas oublié ensuite. :/ Je sais, c'est pas brillant.
Alors grâce à ça, j'ai pu me rendre compte que pour utiliser RootkitRevealer, il faut arrêter l'indexation (Windows Desktop Search), peut-être une partie du pack McAfee, et encore quelques bricoles, et après ça plus de souci avec.
Je retourne dans l'autre fil histoire de dire ce qu'il en est.
Grande nouvelle !
Piqué par je ne sais quelle mouche, cet après-midi, j'ai essayé FileMon,
et il s'est avéré que çA MARCHE !
Je m'étais bien dit, après m'être accordé le droit seDebugPrivilege,
qu'il allait falloir réessayer après avoir redémarré Windows, mais je ne
jurerais pas devant l'échafaud que je n'ai pas oublié ensuite. :/ Je
sais, c'est pas brillant.
Alors grâce à ça, j'ai pu me rendre compte que pour utiliser
RootkitRevealer, il faut arrêter l'indexation (Windows Desktop Search),
peut-être une partie du pack McAfee, et encore quelques bricoles, et
après ça plus de souci avec.
Je retourne dans l'autre fil histoire de dire ce qu'il en est.
Piqué par je ne sais quelle mouche, cet après-midi, j'ai essayé FileMon, et il s'est avéré que çA MARCHE !
Je m'étais bien dit, après m'être accordé le droit seDebugPrivilege, qu'il allait falloir réessayer après avoir redémarré Windows, mais je ne jurerais pas devant l'échafaud que je n'ai pas oublié ensuite. :/ Je sais, c'est pas brillant.
Alors grâce à ça, j'ai pu me rendre compte que pour utiliser RootkitRevealer, il faut arrêter l'indexation (Windows Desktop Search), peut-être une partie du pack McAfee, et encore quelques bricoles, et après ça plus de souci avec.
Je retourne dans l'autre fil histoire de dire ce qu'il en est.
