Duda existencial... Windows File Protection (WFP)

Me ha surgido una duda existencial al hacer una serie de pruebas. La duda es
sobre la característica de Windows XP WFP (Windows File Protection).

Cito el documento de Microsoft http://support.microsoft.com/kb/222193/es
acerca de esta característica:

Protección de archivos de Windows (WFP, Windows File Protection) evita que
los programas reemplacen los archivos de sistema esenciales de Windows. Los
programas no deben sobrescribir estos archivos porque el sistema operativo y
otros programas los utilizan. Al proteger estos archivos, se evitan problemas
con los programas y el sistema operativo.

WFP protege los archivos de sistema esenciales que se instalan como parte de
Windows (por ejemplo, archivos con la extensión .dll, .exe, .ocx y .sys, y
algunas fuentes True Type). WFP utiliza las firmas de archivo y los archivos
de catálogo generados con firma de código para comprobar si los archivos de
sistema protegidos son las versiones de Microsoft correctas. Sólo se permite
reemplazar archivos de sistema protegidos a través de los mecanismos
siguientes:

• Instalación de Service Packs de Windows con Update.exe
• Hotfix instalados con Hotfix.exe o Update.exe
• Actualizaciones del sistema operativo con Winnt32.exe
• Windows Update

Si un programa utiliza un método diferente para reemplazar archivos
protegidos, WFP restaura los archivos originales. Windows Installer sigue las
normas de WFP al instalar archivos de sistema esenciales y lo llama con una
solicitud para instalar o reemplazar el archivo protegido en lugar de
intentar instalar o reemplazar el propio archivo.

Entiendo que Windows utiliza algún sistema de comprobación de firma de
archivos para verificar si un archivo de sistema es legítimo o no. En el caso
de que las firmas no coincidan, WFP lo restaura, ya sea desde el directorio
dllcache, ruta de red, o CD de instalación.

He comprobado que si elimino, por ejemplo, el ejecutable regedit.exe, WFP lo
restaura, con un delay de unos 4, o 5 segundos de tiempo. Me figuro que si el
delay es menor, incrementaría el consumo de memoria, y por ende, el
rendimiento sería menor.
Hasta ahí, bien. El caso es que si elimino regedit.exe, y acto seguido copio
cualquier aplicación con nombre regedit.exe al directorio, WFP parece no
enterarse del cambio y deja esa copia (ilegítima de Windows) intacta, con lo
que no llega a restaurar.
Mis preguntas a los expertos son las siguientes:

1) WFP realmente comprueba las firmas de los archivos?
2) Caso de que haga la comprobación de firmas. La hace cada cierto tiempo? O
es instantáneo (delay de 4 o 5 segundos)
3) Si la cuestión 2 es correcta. Por qué en mis máquinas no lo hace? Hay
alguna clave del registro que modificar?

Me figuro que con un sfc /scannow detectaría la copia ilegítima.

Parto de la base de que en mis equipos sólo hay un administrador, y los
clientes están configurados bajo el grupo usuarios, con lo que no hay peligro
alguno de que modifiquen nada en System o System32. Tan solo estaba haciendo
pruebas de seguridad, me ha surgido esta duda, y no doy con la explicación...

Muchas gracias!! :-)

Busca primero una información. ¿Qué información de aparece en el visor de sucesos de todo lo que has hecho?

Microsoft MVP Windows - Shell/User


"Juanito" wrote in message news:
> Me ha surgido una duda existencial al hacer una serie de pruebas. La duda es
> sobre la característica de Windows XP WFP (Windows File Protection).
>
> Cito el documento de Microsoft http://support.microsoft.com/kb/222193/es
> acerca de esta característica:
>
> Protección de archivos de Windows (WFP, Windows File Protection) evita que
> los programas reemplacen los archivos de sistema esenciales de Windows. Los
> programas no deben sobrescribir estos archivos porque el sistema operativo y
> otros programas los utilizan. Al proteger estos archivos, se evitan problemas
> con los programas y el sistema operativo.
>
> WFP protege los archivos de sistema esenciales que se instalan como parte de
> Windows (por ejemplo, archivos con la extensión .dll, .exe, .ocx y ..sys, y
> algunas fuentes True Type). WFP utiliza las firmas de archivo y los archivos
> de catálogo generados con firma de código para comprobar si los archivos de
> sistema protegidos son las versiones de Microsoft correctas. Sólo se permite
> reemplazar archivos de sistema protegidos a través de los mecanismos
> siguientes:
>
> • Instalación de Service Packs de Windows con Update.exe
> • Hotfix instalados con Hotfix.exe o Update.exe
> • Actualizaciones del sistema operativo con Winnt32.exe
> • Windows Update
>
> Si un programa utiliza un método diferente para reemplazar archivos
> protegidos, WFP restaura los archivos originales. Windows Installer sigue las
> normas de WFP al instalar archivos de sistema esenciales y lo llama con una
> solicitud para instalar o reemplazar el archivo protegido en lugar de
> intentar instalar o reemplazar el propio archivo.
>
> Entiendo que Windows utiliza algún sistema de comprobación de firma de
> archivos para verificar si un archivo de sistema es legítimo o no. En el caso
> de que las firmas no coincidan, WFP lo restaura, ya sea desde el directorio
> dllcache, ruta de red, o CD de instalación.
>
> He comprobado que si elimino, por ejemplo, el ejecutable regedit.exe, WFP lo
> restaura, con un delay de unos 4, o 5 segundos de tiempo. Me figuro que si el
> delay es menor, incrementaría el consumo de memoria, y por ende, el
> rendimiento sería menor.
> Hasta ahí, bien. El caso es que si elimino regedit.exe, y acto seguido copio
> cualquier aplicación con nombre regedit.exe al directorio, WFP parece no
> enterarse del cambio y deja esa copia (ilegítima de Windows) intacta, con lo
> que no llega a restaurar.
> Mis preguntas a los expertos son las siguientes:
>
> 1) WFP realmente comprueba las firmas de los archivos?
> 2) Caso de que haga la comprobación de firmas. La hace cada cierto tiempo? O
> es instantáneo (delay de 4 o 5 segundos)
> 3) Si la cuestión 2 es correcta. Por qué en mis máquinas no lo hace? Hay
> alguna clave del registro que modificar?
>
> Me figuro que con un sfc /scannow detectaría la copia ilegítima.
>
> Parto de la base de que en mis equipos sólo hay un administrador, y los
> clientes están configurados bajo el grupo usuarios, con lo que no hay peligro
> alguno de que modifiquen nada en System o System32. Tan solo estaba haciendo
> pruebas de seguridad, me ha surgido esta duda, y no doy con la explicación...
>
> Muchas gracias!! :-)

Hola Jose buenas tardes y gracias por contestar

Lo primero que hice cuando cambié la aplicación fue ir al visor de sucesos,
y efectivamente, como tú bien dices, sale un evento 64001 que te chiva que
alguien o algo ha intentado chutarte una versión que no es la correcta.
Perdón pero me parece que no me expliqué bien antes (he releído lo que
escribí :-))
El problema viene cuando sobreescribimos un archivo legítimo, por otro
legítimo de Windows, es decir, borrar el notepad, y poner por ejemplo, una
copia de cmd.exe pero con nombre notepad.exe. WFP ni se entera, ni suelta
alertas de ningún tipo, ni en el visor de sucesos muestra nada.
El caso es que si borro los notepad.exe de la carpeta system y system32, y
los sustituyo por copias de cmd.exe renombradas a notepad.exe, WFP tampoco se
entera.
Esto me contesta a la pregunta de que WFP sí verifica firmas, pero no se
entera de que en vez de un notepad hay un cmd.exe.. (Con una firma correcta y
legítima)

Eso es así by design? O hay alguna forma de controlarlo...
Gracias de nuevo!
"Jose Gallardo" escribió:

Busca primero una información. ¿Qué información de aparece en el visor de sucesos de todo lo que has hecho?

Microsoft MVP Windows - Shell/User


"Juanito" wrote in message news:
> Me ha surgido una duda existencial al hacer una serie de pruebas. La duda es
> sobre la característica de Windows XP WFP (Windows File Protection).
>
> Cito el documento de Microsoft http://support.microsoft.com/kb/222193/es
> acerca de esta característica:
>
> Protección de archivos de Windows (WFP, Windows File Protection) evita que
> los programas reemplacen los archivos de sistema esenciales de Windows. Los
> programas no deben sobrescribir estos archivos porque el sistema operativo y
> otros programas los utilizan. Al proteger estos archivos, se evitan problemas
> con los programas y el sistema operativo.
>
> WFP protege los archivos de sistema esenciales que se instalan como parte de
> Windows (por ejemplo, archivos con la extensión .dll, .exe, .ocx y ..sys, y
> algunas fuentes True Type). WFP utiliza las firmas de archivo y los archivos
> de catálogo generados con firma de código para comprobar si los archivos de
> sistema protegidos son las versiones de Microsoft correctas. Sólo se permite
> reemplazar archivos de sistema protegidos a través de los mecanismos
> siguientes:
>
> • Instalación de Service Packs de Windows con Update.exe
> • Hotfix instalados con Hotfix.exe o Update.exe
> • Actualizaciones del sistema operativo con Winnt32.exe
> • Windows Update
>
> Si un programa utiliza un método diferente para reemplazar archivos
> protegidos, WFP restaura los archivos originales. Windows Installer sigue las
> normas de WFP al instalar archivos de sistema esenciales y lo llama con una
> solicitud para instalar o reemplazar el archivo protegido en lugar de
> intentar instalar o reemplazar el propio archivo.
>
> Entiendo que Windows utiliza algún sistema de comprobación de firma de
> archivos para verificar si un archivo de sistema es legítimo o no. En el caso
> de que las firmas no coincidan, WFP lo restaura, ya sea desde el directorio
> dllcache, ruta de red, o CD de instalación.
>
> He comprobado que si elimino, por ejemplo, el ejecutable regedit.exe, WFP lo
> restaura, con un delay de unos 4, o 5 segundos de tiempo. Me figuro que si el
> delay es menor, incrementaría el consumo de memoria, y por ende, el
> rendimiento sería menor.
> Hasta ahí, bien. El caso es que si elimino regedit.exe, y acto seguido copio
> cualquier aplicación con nombre regedit.exe al directorio, WFP parece no
> enterarse del cambio y deja esa copia (ilegítima de Windows) intacta, con lo
> que no llega a restaurar.
> Mis preguntas a los expertos son las siguientes:
>
> 1) WFP realmente comprueba las firmas de los archivos?
> 2) Caso de que haga la comprobación de firmas. La hace cada cierto tiempo? O
> es instantáneo (delay de 4 o 5 segundos)
> 3) Si la cuestión 2 es correcta. Por qué en mis máquinas no lo hace? Hay
> alguna clave del registro que modificar?
>
> Me figuro que con un sfc /scannow detectaría la copia ilegítima.
>
> Parto de la base de que en mis equipos sólo hay un administrador, y los
> clientes están configurados bajo el grupo usuarios, con lo que no hay peligro
> alguno de que modifiquen nada en System o System32. Tan solo estaba haciendo
> pruebas de seguridad, me ha surgido esta duda, y no doy con la explicación...
>
> Muchas gracias!! :-)