From f48ea2f6a74eb7d6b9ab85d1594bb9ab5bdae281 Mon Sep 17 00:00:00 2001 From: bol-van Date: Sat, 13 Dec 2025 20:39:03 +0300 Subject: [PATCH] update docs --- docs/manual.md | 6 +----- 1 file changed, 1 insertion(+), 5 deletions(-) diff --git a/docs/manual.md b/docs/manual.md index 5a1cb02..988e57f 100644 --- a/docs/manual.md +++ b/docs/manual.md @@ -722,17 +722,13 @@ Windows : * Хотя драйвер windivert требует привилегий администратора, после его инициализации процесс winws2 ставит себе low mandatory level. Это предотвращает доступ на запись практически ко всем файлам и обьектам, защищенным security descriptor. Процесс больше не может управлять службами и осуществлять привилегированные действия. -Командой icacls можно ставить mandatory метки на файлы и директории. Если вы поставите метку "medium mandatory level", -вы можете запретить процессам с более низким уровнем (low) не только доступ на запись, но и на чтение. -Так можно защитить файлы от кражи со стороны LUA. Хотя сам процесс выяснения расположения интересующих файлов -нетривиален, поскольку LUA не имеет встроенных функций получения списка файлов. * Безвозвратно убираются все Se* привилегии из токена, кроме SeChangeNotifyPrivilege. Есть простой способ передать LUA коду каталог, доступный на запись - параметр `--writeable[=]`. nfqws2 создает каталог, назначает на него такие права, чтобы LUA код смог писать туда файлы, передает имя директории в переменной env `WRITEABLE`. Если dirname не задан, на Windows создается каталог внутри `%USERPROFILE%/AppData/LocalLow` -Со стороны LUA убираются опасные функции - os.execute, io.popen,package.loadlib и модуль debug. +Со стороны LUA убираются опасные функции - os.execute, io.popen, package.loadlib и модуль debug. На github исполняемые файлы nfqws2 собираются с вариантом luajit без FFI. ## Вызов LUA кода