gandc/zapret2
Template
1
0
Fork 0
mirror of https://github.com/bol-van/zapret2.git synced 2026-03-14 06:13:09 +00:00
Code Issues Packages Projects Releases Wiki Activity

update docs

Browse Source
This commit is contained in:
bol-van
2025-12-13 20:39:03 +03:00
parent 2ab71ab895
commit f48ea2f6a7
1 changed files with 1 additions and 5 deletions
Download Patch File Download Diff File Expand all files Collapse all files

6
docs/manual.md
View File

@@ -722,17 +722,13 @@ Windows :
* Хотя драйвер windivert требует привилегий администратора, после его инициализации процесс winws2 ставит себе low mandatory level.
Это предотвращает доступ на запись практически ко всем файлам и обьектам, защищенным security descriptor.
Процесс больше не может управлять службами и осуществлять привилегированные действия.
Командой icacls можно ставить mandatory метки на файлы и директории. Если вы поставите метку "medium mandatory level",
вы можете запретить процессам с более низким уровнем (low) не только доступ на запись, но и на чтение.
Так можно защитить файлы от кражи со стороны LUA. Хотя сам процесс выяснения расположения интересующих файлов
нетривиален, поскольку LUA не имеет встроенных функций получения списка файлов.
* Безвозвратно убираются все Se* привилегии из токена, кроме SeChangeNotifyPrivilege.
Есть простой способ передать LUA коду каталог, доступный на запись - параметр `--writeable[=<dirname>]`.
nfqws2 создает каталог, назначает на него такие права, чтобы LUA код смог писать туда файлы, передает имя директории в переменной env `WRITEABLE`.
Если dirname не задан, на Windows создается каталог внутри `%USERPROFILE%/AppData/LocalLow`
Со стороны LUA убираются опасные функции - os.execute, io.popen,package.loadlib и модуль debug.
Со стороны LUA убираются опасные функции - os.execute, io.popen, package.loadlib и модуль debug.
На github исполняемые файлы nfqws2 собираются с вариантом luajit без FFI.
## Вызов LUA кода