CreateProcessAsUser之创建进程时指定父进程与UAC(UAC原理)

最新推荐文章于 2025-04-28 18:36:19 发布
原创 最新推荐文章于 2025-04-28 18:36:19 发布
· 1.2w 阅读 · 23 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

UAC

UAC(user account control),这里科普下UAC的功能,其实UAC就是大家常见的安装软件或者启动程序的时候的出现的全屏变暗的一个提示框,正常的UAC级别下,会检测程序是否有数字签名(可识别程序),以及他的数字签名是否合法,这对于一部分低端的木马具有提醒作用,所以除非特殊情况,不要乱对UCA降权。
在这里插入图片描述

UAC运行原理:

在Windows Vista操作系统中。
用户账户主要有两种:标准用户(stand user) 和 管理员用户 (administrator)
一般在计算机上创建的第一个用户将成为管理员,后续用户默认设置为标准用户。

为什么要有UAC
Windows Vista以前的操作系统,一旦以管理员身份登录的用户被攻破,那就权限崩溃,所以用户们不得不使用标准用户身份登录,一些特殊情况才使用管理员权限。

而有了UAC 用户不在需要专门以标准用户去登录。

因为当一个标准用户登录到计算机时,Vista将创建一个新的登录会话,并通过一个操作系统创建的、与刚刚创建的这个登录会话相关联的shell程序(例如Windows Explorer)作为访问令牌颁发给用户。

而当一个管理员登录到计算机时,Windows Vista的处理方式却与先前版本的Windows有所不同。虽然系统创建了一个新的登录会话,但却为该登录会话创建了两个不同的访问令牌,而不是先前版本中的一个。第一个访问令牌提供了管理员所有的许可和权限,而第二个就是所谓的“受限访问令牌”,有时候也叫做“过滤访问令牌(filtered token)",该令牌提供了少得多的许可和权限。实际上,受限访问令牌所提供的访问权限和标准用户的令牌没什么区别。然后系统将使用该受限访间令牌创建 shell应用程序。这也就意味着即使用户是以管理员身份登录的,其默认的运行程序许可和权限仍为标准用户。

若是该管理员需要执行某些需要额外许可和权限的、并不在受限访间令牌提供权限之内的操作,那么他/她可以选择使用非限制访问令牌所提供的安全上下文来运行该应用程序。在由受限访问令牌“提升到非限制访间令牌的过程中,Windows Vista将通过给管理员提示的方式确认该操作,以其确保计算机系统的安全。恶意代码不可能绕过该安全提示并在用户不知不觉中得到对计算机的完整控制。

UAC提权

进程完整性级别,系统的每个进程有相应的完整性级别标志,与资源的完整性级别相互验证,以提供额外的安全保护。

用户态进程可以设置如下四种完整性级别:

1.Low
2.Medium
3.High
4.System

管理员的标准用户模式下(未提升)是(Medium)完整性级别
经过提升后拥有高(High)完整性级别。
运行于Local System之下的账户拥有(System)完整性级别

提权简单流程:

  1. 获取需要查询的进程的访问令牌
  2. 根据令牌获取指定类型信息,得到表示完整性级别的SID
  3. 根据该进程的SID,决定是否需要用户确认,然后进行提权。

《深入解析Windows操作系统》里面讲解了UAC的原理,里面的意思是这样解释UAC提权的:

当用户允许一次UAC提权时,AIS服务(AppInfo Service)调用的CreateProcessAsUser() 函数创建进程并且赋予恰当的管理员权限,在理论上说AIS服务(所在的进程)是提权后辣个进程的父进程。

然而,当我们用一些进程查看管理工具 进行查看时,会发现已经被提权的进程,它的父进程是创建它的进程,而不是AIS服务(所在的进程)。

这是因为AIS利用了CreateProcessAsUser() API中的一个新的功能,这里的新功能就是将要被提权的进程的父进程设置成创建该进程的进程,如果我们利用一下该API,就可以把一个进程的父进程设置为任意进程。

如果把木马进程的父进程设置为 杀软 或者csrss.exe ,notepad.exe 等可信进程,那么对于依据父进程可疑(进程链)来查杀的杀软就轻易绕过了。(360绕不过,估计慢慢的都会意识到这点)。

下面的代码就是关于CreateProcessAsUser()的使用:

原理->MSDN:
如果是CreateProcessAsUser 的dwCreationFlags 的参数被设置为EXTENDED_STARTUPINFO_PRESENT, 这就是有扩展启动信息的结构体,
这里的IpStartupInfo参数需要填好STARTUPEX 结构
这个结构由STARTUOINFO结构和PROC_THREAD_ATTRIBUTE_LIST 指针构成

typedef struct _STARTUPINFOEX {
   
  STARTUPINFO                 StartupInfo;
  PPROC_THREAD_ATTRIBUTE_LIST lpAttributeList;
} STARTUPINFOEX,
最低0.47元/天 解锁文章
C++如何创建低权限的标准用户权限进程(附完整源码)
dvlinker的技术专栏
04-17 2682
如何创建低权限的标准用户权限进程
[网络安全自学篇] 九十四.《Windows黑客编程技术详解》之提权技术(令牌权限提升和Bypass UAC
杨秀璋的专栏
09-12 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来博友们学习,希望您喜欢,一起进步。这篇文章将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享,并且会进一步补充相关知识点。第六篇文章主要介绍木马病毒提权技术,包括进程访问令牌权限提升和Bypass UAC,希望对您有所帮助。
创建进程指定父进程
12-24
创建一个进程指定父进程
Windows创建进程指定父进程
被遗弃的庸才博客
11-04 1829
通常情况下,在进程特别多的情况下使用ProcMon抓行为的候都只是简单的看一下该进程进程树,不会去注意系统进程创建进程,这里就有了一个想法,可不可以在创建指定父进程,之后在网上找了份代码,也没改直接拿来测试下,发现在提权之后是可以指定父进程为session 0的进程 #include<windows.h> #include<stdio.h> BOOL ...
从“CreateProcess需要管理员权限”问题到最终解决过程总结
最新发布
森明帮大于黑虎帮的博客
04-28 807
从“CreateProcess需要管理员权限”问题到最终解决过程总结
创建进程指定父进程
Sven的忘却日记
04-29 3565
创建进程创建进程指定父进程,可以用来破坏进程链,加大溯源难度,而且用procmon也抓不到日志 #include "stdafx.h" #include "windows.h" #include <intrin.h> #include <TlHelp32.h> DWORD GetProcessIDFromName(WCHAR * name) { PROCESS...
CreateProcessAsUser
君子居易
07-23 8596
CreateProcessAsUser函数创建一个新的进程及其主线程。新进程然后执行指定的可执行文件。该CreateProcessAsUser功能类似的CreateProcess函数,除了新进程运行在由hToken参数表示的用户的安全上下文中。默认情况下,新进程是非交互式的,即它运行在不可见且无法接收用户输入的桌面上。此外,默认情况下,新进程继承调用进程的环境,而不是指定用户关联的环境。 BOOL CreateProcessAsUser( HANDLEhToken, // 处理代表..
CreateProcessAsUser和CreateProcessWithLogonW的简单案列
qq_34227896的博客
02-18 2万+
介绍6种比较常用的运行(执行)程序的方法: 包括WinExec、ShellExecute、CreateProcess、CreateProcessAsUser、CreateProcessWithLogonW、CreateProcessWithTokenW 一、CreateProcessAsUser创建一个新进程及其主线程。 1、创建当前登录(活跃)用户下的进程 // pch.cpp: ...
关于父进程和子进程的关系(UAC 绕过思路)
byteway的专栏
05-11 6647
表面上看,在windows中。如果是a进程创建了b进程,那么a进程就是b进程父进程,反之,如果是b创建了a,那么b进程就是a的父进程,这是在windows出现以来一直是程序猿们都证实的,但是在在win Vista后面有了一个新安全消息机制,UAC(user account control),这里科普下UAC的功能,其实UAC就是大家常见的安装软件或者启动程序的候的出现的全屏变暗的一个提示框,这
如何创建低权限的标准用户权限进程
dvlinker的技术专栏
06-09 171
如何创建低权限的标准用户权限进程
CreateProcessAsUser 示例教程
gitblog_01104的博客
08-26 847
CreateProcessAsUser 示例教程 CreateProcessAsUserCreates a process in a different Windows session项目地址:https://gitcode.com/gh_mirrors/cr/CreateProcessAsUser 项目介绍 该项目 CreateProcessAsUser 是基于 GitHub 的一个技术实现,...
CreateProcessAsUser:在其他Windows会话中创建进程
05-05
CreateProcessAsUser 这使用Win32 API来: 查找当前活动的用户会话 在该会话中产生一个新流程 这允许在其他会话(例如Windows服务)中运行的进程使用用户必须看到的图形用户界面启动进程。 请注意,该过程必须具有适当的(管理员)特权才能正常工作。 用法 using murrayju . ProcessExtensions ; // ... ProcessExtensions . StartProcessAsCurrentUser ( " calc.exe " ); 参数 第二个参数用于将命令行参数作为字符串传递。 根据目标应用程序,可能期望argv[0]作为可执行文件的名称,或者它可能是第一个参数。 有关详细信息,请参。 如有疑问,请尝试两种方式。
VC使用logoUser CreateProcessAsUser指定用户运行程序例子
02-29
VC使用logoUser CreateProcessAsUser指定用户运行程序例子 名家作品。收藏一下。 VC实现runas的功能。
父子进程,createprocess
12-10
进程一直在输出“child process is talking at【system time】” 父进程一直在输出“parent process is····” 由两个窗口分别显示
创建进程指定父进程
dbyoung的Delphi专栏
10-21 4651
记录一下,以免忘记。 uses Windows, PsAPI, SysUtils; const SE_SECURITY_NAME = 'SeSecurityPrivilege'; PROC_THREAD_ATTRIBUTE_PARENT_PROCESS = $00020000; EXTENDED_STARTUPINFO_PRESENT
CreateProcessAsUser的用法
热门推荐
天使的薄荷
12-16 2万+
    最近太忙了,忙着弄公司的产品,现在好不容易有点间来写点东西,代码很乱,没有整理,只是提供思路DWORD __stdcall INTER_GetExplorerToken(OUT PHANDLE  phExplorerToken )    {       DWORD       dwStatus = ERROR_FILE_NOT_FOUND ;        BOOL        b
CreateProcessAsUser()的使用
S664200185的专栏
09-06 5621
HANDLE hToken = NULL; TCHAR szUsername[MAX_PATH]; TCHAR para[MAX_PATH] = {0}; TCHAR szUsernamePath[MAX_PATH]; DWORD dwUsernameLen = MAX_PATH; DWORD cursessionid; cursessionid = WTSGetActiveConso
CreateProcess创建新的进程
jiangxinyu的专栏
03-16 5242
typedef struct _STARTUPINFO{   DWORD cb;            //包含STARTUPINFO结构中的字节数.如果Microsoft将来扩展该结构,它可用作版本控制手段.                        应用程序必须将cb初始化为sizeof(STARTUPINFO)   PSTR lpReserved;      //保留。必须初始化为N
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值