关于Windows系统白名单程序(自动提权autoElevate)

最新推荐文章于 2025-05-25 00:03:40 发布
原创 最新推荐文章于 2025-05-25 00:03:40 发布 · 4.6k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#UAC #sysprep.exe #autoElevate

本文介绍了如何寻找Windows系统中能够自动提权(autoElevate)的程序,这些程序在UAC下无需用户许可即可获得权限。通过查阅资料和使用工具如Strings.exe,发现一些系统应用如sysprep.exe具备这种特性。关键在于程序必须经过Windows Publisher数字签名,位于特定安全目录,并在manifest文件中声明<autoElevate>true</autoElevate>。文章列举了多个具有autoElevate属性的系统可执行文件,并提到存在migwiz.exe的情况,但它没有autoElevate标志,引发疑问。

参考资料:

https://technet.microsoft.com/zh-cn/magazine/2009.07.uac.aspx

http://withinwindows.com/blog/2009/02/05/list-of-windows-7-beta-build-7000-auto-elevated-binaries

工具:

Strings.exe

Sigcheck.exe

Procexp.exe

Procmon.exe

知识点:

Manifest文件

UAC

 

         一直想怎么才能找到类似sysprep.exe这样可以有UAC权限但是运行的时候不会触发UAC弹框(即我们常说的Windows白名单程序),在网络上搜寻良久也未成发现有什么可用的信息。最后只有重头看看UAC相关信息,终于在MSDN上发现相关信息即参考资料1。

         从参考资料1中我们可以获得很多信息,由于vista在启用uac时貌似平等对待不管是Windows系统的还是第三方应用获得uac权限都要弹框获得用户许可,所以在win7上微软启用了白名单机制,对于某些系统应用可以直接获得uac权限。

条件就是:

1.      该可执行文件必须经过 Windows Publisher 的数字签名,Windows Publisher 是用于对 Windows 附带的所有代码进行签名的证书(仅由 Microsoft 进行签名是不够的,因此 Windows 未附带的 Microsoft 软件不包括在内);

2.      该可执行文件必须位于其中一个为数不多的“安全”目录中。安全目录是指标准用户无法修改的目录,并且它们包括 %SystemRoot%\System32(例如,\Windows\System32)及其大多数子目录、%SystemRoot%\Ehome,以及 %ProgramFiles% 下的少许目录(其中包括 Windows Defender 和 Windows 日记本)。

而要能够autoElevate还必须满足的一点就是要在程序的manifest文件中申明成类似这个样子的<autoElevate>true</autoElevate>,而且参考资料1还提供了两个工具来获得这个manifest文件搜寻满足条件的exe。

下面说的我获得的方法:

strings.exe  -s *.exe | findstr /i "autoElevate">"D:\Program Files (x86)\SysinternalsS

uite\autoevate.txt"

 

最后贴个win7 64位system32下面的结果:

  1. c:\Windows\System32\AdapterTroubleshooter.exe:         <autoElevatexmlns="http://schemas.microsoft.com/SMI/2005/WindowsSettings">true</autoElevate>
  2. c:\Windows\System32\BitLockerWizardElev.exe:       <autoElevatexmlns="http://schemas.microsoft.com/SMI/2005/WindowsSettings">true</autoElevate>
  3. c:\Windows\System32\bthudtask.exe:          <autoElevate>true</autoElevate>
  4. c:\Windows\System32\chkntfs.exe:        <autoElevate>true</autoElevate>
  5. c:\Windows\System32\cleanmgr.exe:         <autoElevatexmlns="http://schemas.microsoft.com/SMI/2005/WindowsSettings">true</autoElevate>
  6. c:\Windows\System32\cliconfg.exe:         <autoElevate>true</autoElevate>
  7. c:\Windows\System32\CompMgmtLauncher.exe:            <autoElevate>true</autoElevate>
  8. c:\Windows\System32\ComputerDefaults.exe:        <autoElevate>true</autoElevate>
  9. c:\Windows\System32\dccw.exe:      <autoElevate>true</autoElevate>
  10. c:\Windows\System32\dcomcnfg.exe:          <autoElevate>true</autoElevate>
  11. c:\Windows\System32\DeviceEject.exe:            <autoElevate>true</autoElevate>
  12. c:\Windows\System32\DeviceProperties.exe:        <autoElevate>true</autoElevate>
  13. c:\Windows\System32\dfrgui.exe:        <autoElevate xmlns="http://schemas.microsoft.com/SMI/2005/WindowsSettings">true</autoElevate>
  14. c:\Windows\System32\djoin.exe:        <autoElevate>true</autoElevate>
  15. c:\Windows\System32\eudcedit.exe:         <autoElevate>true</autoElevate>
  16. c:\Windows\System32\eventvwr.exe:        <autoElevate>true</autoElevate>
  17. c:\Windows\System32\FXSUNATD.exe:          <autoElevate>true</autoElevate>
  18. c:\Windows\System32\hdwwiz.exe:            <autoElevate>true</autoElevate>
  19. c:\Windows\System32\ieUnatt.exe:            <autoElevate>true</autoElevate>
  20. c:\Windows\System32\iscsicli.exe:        <autoElevate>true</autoElevate>
  21. c:\Windows\System32\iscsicpl.exe:        <autoElevate>true</autoElevate>
  22. c:\Windows\System32\lpksetup.exe:        <autoElevate>true</autoElevate>
  23. c:\Windows\System32\MdSched.exe:             <autoElevatexmlns="http://schemas.microsoft.com/SMI/2005/WindowsSettings">true</autoElevate>
  24. c:\Windows\System32\msconfig.exe:        <autoElevate>true</autoElevate>
  25. c:\Windows\System32\msdt.exe:      <autoElevatexmlns="http://schemas.microsoft.com/SMI/2005/WindowsSettings">true</autoElevate>
  26. c:\Windows\System32\msra.exe:        <autoElevate>true</autoElevate>
  27. c:\Windows\System32\MultiDigiMon.exe:         <autoElevate>true</autoElevate>
  28. c:\Windows\System32\Netplwiz.exe:         <autoElevate xmlns="http://schemas.microsoft.com/SMI/2005/WindowsSettings">true</autoElevate>
  29. c:\Windows\System32\newdev.exe:        <autoElevate>true</autoElevate>
  30. c:\Windows\System32\ntprint.exe:        <autoElevate>true</autoElevate>
  31. c:\Windows\System32\ocsetup.exe:        <autoElevate>true</autoElevate>
  32. c:\Windows\System32\odbcad32.exe:            <autoElevate>true</autoElevate>
  33. c:\Windows\System32\OptionalFeatures.exe:         <autoElevate  xmlns="http://schemas.microsoft.com/SMI/2005/WindowsSettings">true</autoElevate>
  34. c:\Windows\System32\perfmon.exe:      <autoElevate>true</autoElevate>
  35. c:\Windows\System32\printui.exe:             <autoElevate xmlns="http://schemas.microsoft.com/SMI/2005/WindowsSettings">true</autoElevate>
  36. c:\Windows\System32\rdpshell.exe:        <autoElevate>true</autoElevate>
  37. c:\Windows\System32\recdisc.exe:        <autoElevate>true</autoElevate>
  38. c:\Windows\System32\rrinstaller.exe:             <autoElevate>true</autoElevate>
  39. c:\Windows\System32\rstrui.exe:        <autoElevate xmlns="http://schemas.microsoft.com/SMI/2005/WindowsSettings">true</autoElevate>
  40. c:\Windows\System32\sdbinst.exe:        <autoElevate>true</autoElevate>
  41. c:\Windows\System32\sdclt.exe:        <autoElevate xmlns="http://schemas.microsoft.com/SMI/2005/WindowsSettings">true</autoElevate>
  42. c:\Windows\System32\shrpubw.exe:        <autoElevate>true</autoElevate>
  43. c:\Windows\System32\slui.exe:        <autoElevate>true</autoElevate>
  44. c:\Windows\System32\SndVol.exe:             <autoElevatexmlns="http://schemas.microsoft.com/SMI/2005/WindowsSettings">true</autoElevate>
  45. c:\Windows\System32\SystemPropertiesAdvanced.exe:        <autoElevate>true</autoElevate>
  46. c:\Windows\System32\SystemPropertiesComputerName.exe:        <autoElevate>true</autoElevate>
  47. c:\Windows\System32\SystemPropertiesDataExecutionPrevention.exe:        <autoElevate>true</autoElevate>
  48. c:\Windows\System32\SystemPropertiesHardware.exe:         <autoElevate>true</autoElevate>
  49. c:\Windows\System32\SystemPropertiesPerformance.exe:        <autoElevate>true</autoElevate>
  50. c:\Windows\System32\SystemPropertiesProtection.exe:        <autoElevate>true</autoElevate>
  51. c:\Windows\System32\SystemPropertiesRemote.exe:        <autoElevate>true</autoElevate>
  52. c:\Windows\System32\taskmgr.exe:        <autoElevate>true</autoElevate>
  53. c:\Windows\System32\tcmsetup.exe:        <autoElevate>true</autoElevate>
  54. c:\Windows\System32\TpmInit.exe:             <autoElevate>true</autoElevate>
  55. c:\Windows\System32\verifier.exe:        <autoElevate>true</autoElevate>
  56. c:\Windows\System32\wisptis.exe:      <autoElevate>true</autoElevate>
  57. c:\Windows\System32\wusa.exe:            <autoElevate>true</autoElevate>
  58. c:\Windows\System32\DriverStore\FileRepository\bth.inf_amd64_neutral_e54666f6a3e5af91\fsquirt.exe:        <autoElevate>true</autoElevate>
  59. c:\Windows\System32\oobe\setupsqm.exe:        <autoElevate>true</autoElevate>
  60. c:\Windows\System32\sysprep\sysprep.exe:         <autoElevate>true</autoElevate>

这些做完之后就在google中再搜寻了相关结果发现原来老外在09年就贴出来了,就是参考资料2。所以学习好E文很重要啊,参考资料1也是09年的可能翻译过来比较晚。

但是最后我发现个问题migwiz.exe也和sysprep.exe一样但是怎么没那个autoElevate标志啊,求大神指点

这里也希望大家把SysinternalsSuite工具使用的例子给明示哈谢谢,哈哈

操作系统(十四)之绕过UAC-基于白名单AutoElevate绕过UAC
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
02-26 1760
利用白名单程序的本质实际上是劫持注册表,这种方法主要是通过寻找autoElevated属性为true的程序,修改其注册表command的值,改成我们想要执行的paylaod,在该值中指明的字段会在这类程序运行时自动执行,类似于默认程序打开,当你以后运行该程序时,这个command命令都会自动执行。我们在运行eventvwr.exe程序会在注册表下去找这些值,如果这些值是一个calc的程序,那么系统在运行eventwr.exe时就会去执行一个calc.exe。我们打开注册表,去找到刚刚那个注册表的位置。
Windows 10白名单设置方法(编程实现)
PixelEnigma的博客
10-01 591
路径下的注册表项,并在该项下创建一个与程序路径对应的子项。然后,我们将子项的"Compatibility Flags"值设置为0x400,表示将程序添加到白名单中。在Windows 10中,我们可以使用编程的方式来实现白名单设置,以限制特定程序的运行。下面是一个详细的步骤,包括相关的源代码,来帮助你实现这一功能。完成上述步骤后,你的程序将被添加到Windows 10的白名单中,从而允许其正常运行。应该是你想要添加到白名单程序的完整路径。如果你有任何其他问题,请随时问。在上述代码中,我们使用。
白名单AuthElevate属性绕过UAC
m0_62202418的博客
10-17 687
Windows白名单autoElevate属性为True,就会实现启动时自动(不会UAC),而这些应用程序往往都具备微软的签名,微软认为它是可信的。UAC的作用是为了方式恶意软件、木马病毒、广告插件,但是UAC同样也会对系统本身的程序造成影响,微软也不希望运行系统程序也需要询问用户,因为系统程序是安全的。想要批量查找,可以借助微软的工具strings工具,他类似Linux中的Find,可以批量查找程序中的属性值。sigcheck.exe(查看应用程序autoElevate 属性的值)
应用教程:Ping32软件黑白名单使用教程
overbegin的博客
12-18 443
选择桌面管理分组,点击软件管控按钮,新建策略 点击左侧生效时间可以选择生效时间,可以自定义时间段,最多可设置三个时间段 点击左侧软件黑名单,设置那些软件禁止在员工电脑运行,软件中有软件类别,可选择禁用哪些常用软件,比如游戏、视频、音乐等。 可以自定义添加软件,若想要添加的软件不在类别中,点击“+”,自定义添加 点击左侧软件白名单,设置员工电脑只允许运行的软件 如果想要允许运行的软件不在列表中...
白名单、启动级别、查看内存使用情况、操作系统初始化、
2301_79092588的博客
08-08 180
lrwxrwxrwx 1 root root 13 Oct 15 2019 /usr/lib/systemd/system/runlevel1.target 单用户系统, 不需要登陆。/etc/hosts.allow //白(为准)
借助Intune 实现Windows 10 应用白名单
qq_45502533的博客
08-25 1040
AppLocker 它是一种技术或白名单技术,允许限制用户可以执行的应用程序。这不是最好的解决方案,但它是管理应用程序中访问的良好解决方案。不幸的是,Applocker并非所有Windows版本都支持它,并且您无法为本地网络之外的设备执行任何操作。Intune填补了这一空白,并通过Applocker CSP供了一个解决方案,该解决方案几乎受所有Windows版本支持,并控制本地网络外部设备的应用程序中的访问。
UACME工具禁用Windows用户账户控制技术解析
Windows AutoElevate后门”这句话存在一定的语义歧义,实际应理解为:UACME项目揭示并利用了WindowsAutoElevate机制可能被滥用的风险,即某些合法系统程序因历史兼容性原因被赋予无需用户确认即可自动的能力。...
win11把一个程序放入UAC白名单,普通用户以管理员身份运行也不弹UAC(例如schtasks.exe)
05-03
Windows 11中,将程序(如`schtasks.exe`)添加到UAC白名单并允许普通用户以管理员身份运行而不弹出示,需通过系统级配置实现。以下是具体方法及注意事项: --- ### 方法1:通过任务计划程序配置自动升 1. *...
UAC ByPass的研究
m0_68259687的博客
11-17 1180
(User Account Control)Windows Vista(及更高版本操作系统)中一组新的基础结构技 术,可以帮助阻止恶意程序(有时也称为“恶意软件”)损坏系统,同时也可以帮助组织部署更易于管理 的平台使用UAC,应用程序和任务总是在非管理员帐户的安全上下文中运行,但管理员专门给系统授予管理员 级别的访问限时除外。UAC会阻止未经授应用程序自动安装,防止无意中对系统设置进行更改。
其原理基本一样,都是调用操作系统中原本高限(或者白名单中)的系统任务,然后将要执行的文件加入其中的调用链,来欺骗 UACUAC 以为是系统限用户(或者白名单中)的任务在执行,从而绕过 UAC 限制。
04-08
上述到的方法均属于广义上的 “白名单 AutoElevate 绕过”,即借助那些本身就被授可以直接升而不弹窗询问的应用/脚本来完成目的[^1]。 --- ### 调用高系统任务的具体实现方式 以下是几种常见的技术手段...
win7/win8/win10 vc过UAC
06-12
老外对于32/64位win7/win8/win10系统下过UAC总结的几种思路,vs2012编译,供大家参考学习
UACME, 禁用 Windows 用户帐户控制.zip
10-10
UACME, 禁用 Windows 用户帐户控制 UACMe防止 Windows 用户帐户控制滥用 Windows AutoElevate后门。系统要求x86-32/x64 Windows 7/8/8. 1/10 ( 客户端,但某些方法也适用于服务器版本) 。管理帐户在默认
WIN7 WIN10 后台进程监测小工具
02-07
经过严格测试才拿来和大家分享
python实用程序-python实用程序-HTTP服务调用系统命令(带白名单
weixin_39720003的博客
11-11 227
本文转自:http://xiaoxia.org/2011/08/16/a-small-python-program-serverinformation/需求:监听一个端口,供HTTP接口,通过访问Web地址,调用程序获取各种信息。例如,想在远程服务器上执行free命令查看远程服务器的内存使用情况,free -m 的base64编码为 ZnJlZSAtbQ== (可以在bash下使用命令生成bas...
windows通过ip安全策略,添加白名单-windows 2012 r2
dsaddstrtr的博客
06-27 4268
除了192.168.140.0/24网段可以访问1521端口,其他都禁止。2、右击“IP安全策略,在本地机器 ”---“管理IP筛选列表……1、通过---控制面板---管理工具---本地安全策略。思路:先添加全部禁止策略,再单独开放需要访问的网段。2、开放需要访问的ip段。1、添加全部禁止策略。
Windows bypassUAC 技法详解(二)
最新发布
vortex5的博客
05-25 1280
本文介绍了Windows系统中三种绕过UAC方法:(1)利用autoElevate白名单程序,通过修改注册表或执行自带工具实现升;(2)DLL劫持技术,利用程序加载DLL时的路径漏洞执行恶意代码;(3)SSPI接口绕过,通过身份验证协议触发特操作。这些方法揭示了Windows安全机制中的潜在漏洞,既可用于渗透测试发现系统弱点,也为防御者供了加固系统的参考方向。
windows系统
weixin_53639243的博客
04-23 5409
方法。
window绕开UAC——利用UAC白名单程序
甜筒八部 的专栏
11-18 8644
Se在实际开发过程中,可以通过Process Explorer检查服务或程序处于哪个Session,会不会遇到Session 0 隔离问题。我们在Services 中找到之前加载的AlertService 服务,右键属性查看其Session 状态。
启动应用程序出现SystemPropertiesHardware.exe找不到问题
wbcmbfy的博客
06-27 344
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个SystemPropertiesHardware.exe文件(挑选合适的版本文件)把它放入到程序系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.
Windows 7 UAC白名单设置教程
需要注意的是,将程序加入白名单时必须谨慎,只应添加那些绝对信任的程序,因为这些程序将以非管理员限执行,任何恶意程序如果被误添加到白名单,都可能在不被UAC警告的情况下运行,对系统安全造成威胁。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值