UAC是微软为了提高Windows的安全性,自Windows Vista开始引入的新安全机制。
传统的NT内核系统依靠access token来做权限处理,access token由当前用户所在的用户组的权限决定。而由于长期以来的不当使用习惯问题,几乎所有Windows上用户所在的组都是管理员。
在启用UAC之后,系统会额外引入一个filtered token,并且这个token默认只能按照Standard User的权限去执行。所以这个token也通常被叫做limited filtered token。
PS:关于上面的简单介绍,请参考这里
因为执行权限有限,某些操作必然会要求更高的管理员权限。此时,通常就需要一个privilegs elevation的操作。程序可以向系统请求提权,系统会将此请求通过提一个提示框,请用户确认。
这里多说一点,如果当前用户的用户组权限不是管理员,提权操作是要求输入管理员密码的,这点和在Linux中的相应操作类似。不过我想大部分人的用户组都是管理员,所以这句话当我没说好了…
另外需要注意的一点是,这个elevation是受到一个process-boundary的限制的,具体体现在两方面:
- 程序只能在运行前要求提权。如果已经在运行了,那么将失去申请提权的能力
- 权限提升仅对此次进程有效
不过,一个具有full administrator token的进程利用CreateProcess创建的进程默认都继承了full administrator token。
提升权限的操作大致有两个:
- 自动提权请求
- 手动提权请求
自动提权请求
如果你的程序始终要求以full administrator token的模式运行,那么应该考虑在程序启动时自动向系统请求提权。
需要做的事情很简单,只需要更改程序的manifest文件。这个文件本质上是一个XML文件,默认情况下,它的内容因该是:
01 |
<?xml
version="1.0" encoding="UTF-8" standalone="yes"?> |
02 |
<assembly
xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0"> |
03 |
<trustInfo
xmlns="urn:schemas-microsoft-com:asm.v3"> |
04 |
<security> |
05 |
<requestedPrivileges> |
06 |
<requestedExecutionLevel
level="asInvoker" uiAccess="false"></requestedExecutionLevel> |
07 |
</requestedPrivileges> |
08 |
</security> |
09 |
</trustInfo> |
10 |
</assembly> |
只要将requestExecutionLevel的level的值改成requiredAdministrator,再重新将这个文件链接入EXE即可。
另外,如果使用Visual Studio作为开发环境,直接在项目的属性里可以更改UAC的权限要求设置
UAC下的程序权限提升
手动提权请求
如果进程在运行途中需要full administrator token怎么办?
答案是,没办法。具体原因前面说了。
不过,一个具有limited filtered token的进程是可以运行一个程序,并且让这个程序去请求系统提权。而且,我们可以让这个进程去再一次运行自己的EXE文件,并且请求提权。
这里需要的API是ShellExecuteEx而不是根正苗红的CreateProcess。因为后者没有和UAC相关的属性设置
ShellExecuteEx需要一个SHELLEXECUTEINFO结构,这个结构如下:
01 |
typedef struct _SHELLEXECUTEINFO
{ |
02 |
DWORD cbSize; |
03 |
ULONG fMask; |
04 |
HWND hwnd; |
05 |
LPCTSTR lpVerb; |
06 |
LPCTSTR lpFile; |
07 |
LPCTSTR lpParameters; |
08 |
LPCTSTR lpDirectory; |
09 |
int nShow; |
10 |
HINSTANCE hInstApp; |
11 |
LPVOID lpIDList; |
12 |
LPCTSTR lpClass; |
13 |
HKEY hkeyClass; |
14 |
DWORD dwHotKey; |
15 |
union { |
16 |
HANDLE hIcon; |
17 |
HANDLE hMonitor; |
18 |
}
DUMMYUNIONNAME; |
19 |
HANDLE hProcess; |
20 |
}
SHELLEXECUTEINFO, *LPSHELLEXECUTEINFO; |
这里我们需要关心大概只有三个成员:lpVerb,lpFile和nShow
lpVerb必须被设置为runas;而lpFile是要运行可执行文件的完整路径;nShow控制窗口的显示。
需要关注nShow是因为大部分初始化操作都将这个属性默认初始化为0,很不巧的是,0对应的属性是SW_HIDE。除非你不需要窗体,否则还是需要手动调教下这个成员。
通常来说,如果某个程序运行途中可以通过触发,转而使用full administrator token运行,那么八成是利用这个API重新运行EXE文件,再将原有的程序退出或者隐藏。
至于剩下的那两成,表示不明白,不过我想可以请教传说中的花大婶。
Demo
自己手写了一个Demo,程序默认以limited filtered token运行。单击提权按钮,向系统请求提权。
默认时是这样:
MFC管理员运行
提升权限后是这样:
MFC管理员运行
核心代码是两块:
- 判断当前进程是否已经提权. 这个通过判断当前进程的token信息获得
- 提权运行. 如前所述,利用ShellExecuteEx
具体代码可以看这里。