虽然此类机能一直遭到部分用户的批评,但后续的Windows操作系统仍保留此类机能。如Windows 7中,微软公司保留并改进了此项功能(自定义UAC的安全等级)。 2....当我们登录的是Administrator用户的时候(同时已经开启了UAC)想在管理控制台中执行添加或删除用户”操作,其会弹出“安全桌面”。...,因为我们携带的访问令牌是权限最低状态下的受保护的管理员访问令牌,所以当进程请求触发了UAC操作的时候,UAC就会弹出通知询问我们是否允许,当我们点击“是”的时候 其实就给进程发送了我们的管理员访问令牌...当我们要访问某个进程时,其携带的是标准用户的访问令牌,那么在进程触发UAC操作的时候就会弹出通知,询问我们并让我们输入管理员账号密码,如图1-18所示。...我正在参与2024腾讯技术创作特训营第五期有奖征文,快来和我瓜分大奖!
于是对于用户点击打开的应用程序,默认就是以标准用户权限运行的。 如果已经以管理员权限启动了一个程序,那么这个程序启动的子进程也会是管理员权限。...在资源管理器中可以看到这样的程序图标的右下角会有一个盾牌图标。 用户在资源管理器中双击启动此程序,或者在程序中使用 Process.Start 启动此程序,会弹出 UAC 提示框。...资源管理器上会出现盾牌图标,双击或使用 Process.Start 启动此程序会弹出 UAC 提示框。在用户同意后,你的程序将获得完全访问令牌(Full Access Token)。...资源管理器上不会出现盾牌图标,双击或使用 Process.Start 启动此程序也不会出现 UAC 提示框,此程序将以受限权限执行。 下图是一个例子。...正常是在 walterlv 账号下启动程序,但以管理员权限运行时,会要求输入 lvyi 账号的密码来提权,于是就会以 lvyi 的身份运行这个程序。
对于部分文件夹(ProgramData),管理员权限创建的文件是不能以非管理员权限修改和删除的。 然而,一个进程运行之后启动的子进程,会继承当前进程的 UAC 权限;于是有时我们会有降权运行的需要。...如何判断当前进程的 UAC 权限 通过下面的代码,可以获得当前进程的 UAC 权限。...因为绝大多数用户启动系统的时候,explorer.exe 进程都是处于运行状态,而如果启动一个新的 explorer.exe,都会自动激活当前正在运行的进程而不会启动新的。...于是我们可以委托默认以普通权限运行的 explorer.exe 来代理启动我们需要启动的子进程,这时启动的子进程便是与 explorer.exe 相同权限的。...不过值得注意的是,Windows 7 上控制面板的 UAC 设置拉倒最低就是关掉 UAC 了;Windows 8 开始拉倒最底 UAC 还是打开的,只是不会提示 UAC 弹窗而已。
使用最新版本,您可以从自己主机的控制台在远程主机上隐藏用户的会话。 现在让我们深入了解最新版本。...} 一件有趣的事情是,如果用户锁定他们的屏幕 ( Win+L) 或切换到另一个用户的帐户(仅从锁定屏幕,有关详细信息,请参阅第 5 节)或弹出 UAC 提示,则带有阴影会话的窗口会自动切换到暂停状态(屏幕上的两条平行条纹...有时您可能会遇到以下一般错误: 这可能意味着任何事情,但在某些情况下,这可能意味着 远程主机上不存在发出当前命令的上下文的用户; 指定的用户凭据不正确; 您正在尝试隐藏您没有权限的会话。...,则会出现以下错误: 您尝试连接的会话不存在 或者,如果会话存在,但没有人连接到它,或者您没有必要的权限,则会出现以下错误之一: 会话存在,但没有人连接到它 没有足够的权限来隐藏会话 否则,您将被授予权限并打开查看者的窗口...虽然这是真的,但每次尝试停止它时都会收到以下错误: 坏处是远程桌面配置 ( SessionEnv) 服务可以停止,如果是这样,您将在尝试隐藏会话时收到以下错误: 接口未知 另一方面,一旦主机重新启动
从 Windows 8 开始到现在的 Windows 10,虽然依然是上面四个设置,但拖到最底的“从不通知”时,UAC 依然是开启的状态。...普通管理员账户下,正常启动进程使用的是继承自 explorer.exe 的 Medium 访问令牌,当进程需要提升权限时,会弹出 UAC 提示框来启动一个子进程以获得 High 令牌。...当此进程提升权限,将弹出 UAC 提示框,用户同意后继续使用此同一个管理员账户运行,但子进程将获得 High 访问令牌。...当此进程提升权限,将弹出 UAC 提示框,用户输入管理员账号密码后,子进程将在输入的管理员账户下运行,获得此管理员的 High 访问令牌。...正常是在 walterlv 账号下启动程序,但以管理员权限运行时,会要求输入 lvyi 账号的密码来提权,于是就会以 lvyi 的身份运行这个程序。
一、用户帐户控制(UAC)简介 在本文中,我们将简要介绍一下用户帐户控制,即UAC。我们还将研究它如何潜在地保护免受恶意软件的攻击并忽略UAC提示可能给系统带来的一些问题。...(通过注册表,可以启用/禁用该设置,但您需要正确的权限才能执行此操作) 修改受保护的目录(例如Windows文件夹,Program Files) 计划任务(例如,以管理员权限自动启动) UAC不会自动阻止恶意软件...如果指定exe::custom,应在单独的进程中启动 payload 后调用ExitProcess()。...如果指定exe:custom,则应在单独的进程中启动payload后调用ExitProcess()。...如果指定EXE ::Custom,则应在单独的进程中启动payload后调用ExitProcess()。
b) OCI.DLL Service Persistence(OCI.dll服务),通过替换系统同名dll,使得系统在启动时加载恶意dll,并启动OCI网络服务,得到系统权限,但此服务停留于NetWork...权限升级(Privilege Escalation Component) a) Elevated COM Object UAC ByPass,采用COM对象接口获取高权限的Explorer进程,编写DLL...c) Sysprep UAC,基于白名单的方式,复制恶意DLL至sysprep目录中,并启动sysprep程序,加载恶意DLL获得高权限。...b) Process Hollowing Implementation(进程替换),以挂起线程的方式启动程序,并在线程恢复前替换可执行文件的内容空间。...c) Disable System Tray Popups,禁用系统托盘的重绘消息,用于阻止其他程序弹出的提示。
一、初识UAC 1.用户帐户控制(UAC)简介 在本文中,我们将简要介绍一下用户帐户控制,即UAC。我们还将研究它如何潜在地保护免受恶意软件的攻击并忽略UAC提示可能给系统带来的一些问题。...(通过注册表,可以启用/禁用该设置,但您需要正确的权限才能执行此操作) 修改受保护的目录(例如Windows文件夹,Program Files) 计划任务(例如,以管理员权限自动启动) UAC不会自动阻止恶意软件...如果指定exe::custom,应在单独的进程中启动 payload 后调用ExitProcess()。...如果指定exe:custom,则应在单独的进程中启动payload后调用ExitProcess()。...如果指定EXE ::Custom,则应在单独的进程中启动payload后调用ExitProcess()。
如果使用下面的代码启动另一个软件,那么在启动的软件路径不存在时,就会出现异常System.ComponentModel.Win32Exception,没有其他信息 var st = new...NeedHidden 表示是否需要隐藏窗口,如果设置为 false ,启动控制台会出现黑窗。...代码 ProcessName 就是其他的软件的路径。...我使用的是WPF 封装 dotnet remoting 调用其他进程里面需要引用一个库用来做远程的软件,因为我使用一个库 A 引用了远程的软件,使用程序B引用了A,因为没有直接引用远程软件,所以就没有在输入路径找到这个文件...其他可能出现异常的是: 启动的程序弹出 UAC 被用户取消 更多关于 remoting 的博客 WPF 封装 dotnet remoting 调用其他进程 .net remoting 抛出异常 .net
: 打开新窗口(forceNewWindow):打开一个新的特权控制台窗口来执行命令。...以下是示例场景: “打开新窗口”配置:运行sudo netstat -ab 命令会打开一个新的特权控制台窗口,并在其中执行这条命令。 “关闭输入”配置:在当前窗口中运行特权进程,stdin 关闭。...当使用sudo提升进程权限时,用户帐户控制(UAC)对话框会提示用户确认。用户确认后,系统将根据所选配置提升进程权限。用户可以通过在控制台中运行sudo -h来查看 sudo 命令的可选参数。...在“打开新窗口”配置中,sudo.exe 会启动一个新的特权控制台窗口,并镜像当前窗口的目录和环境变量。对于“关闭输入”和“内联”配置,sudo.exe 会启动一个新的特权进程。...原来的非特权“sudo.exe”将与特权进程建立 RPC 连接,方便信息交换。 进程层次结构图解 由于存在安全风险,所以务请谨慎使用“内联”或“关闭输入”配置。
UAC的主要目的是确保应用程序只限于标准用户权限,当需要其他权限时,会弹框提示询问 “是否允许以下程序对此计算机进行更改?”...这个UAC框会创建新的安全桌面,屏蔽之前的界面。同时这个UAC框进程是SYSTEM权限进程,其他普通进程也无法和其进行通信交互。...用户确认之后,会调用CreateProcessAsUser函数以管理员权限启动请求的进程。...,用来查看相关UAC的设定信息,以及扫描存在可利用的程序 AKagi64 可以使用akagi32 41或61或者akagi64 41或者61启动程序,41和61指的是README中方法索引,运行后可以直接得到管理员权限的...只有当程序试图更改我的计算机时才通知我(不要调暗我的桌面) 正如设置名称所示,它与上面的名称相同。但当UAC同意提示出现时,系统上的其他任务将不会冻结。
名称、PID、状态 名称不用多说,就是启动这个进程时的程序文件的名称。 值得注意的是,名称自进程启动时就确定了,即便你在运行期间改了名字,进程名也不会变。...不过我更喜欢的是“命令行”。因为除了可以看进程的路径之外,还可以了解到它是如何启动的。比如下面这篇博客中,我就是在任务管理器了解到这些工具的启动参数的。...- 吕毅 .NET/C# 获取一个正在运行的进程的命令行参数 - 吕毅 用户名、特权、UAC 虚拟化 我把这三项放在一起说,是因为这三项是与 UAC 相关的项。...用户名指的是启动此进程的那个用户的用户名,这在调试一些提权程序的时候可能会有用。...UAC 虚拟化相关的问题可以阅读 应用程序清单 Manifest 中各种 UAC 权限级别的含义和效果 - 吕毅。 DPI 感知 可以查看进程的 DPI 感知级别。
破坏Windows日志记录功能 通过调用TerminateThread结束实现日志功能的线程,使得日志记录功能失效,但Windows Event Log服务没有被破坏,状态仍为正在运行 Powershell...payload 每当目标进程启动,均会执行payload,相当于一个自启动的方式 参考: 《渗透测试中的Application Verifier(DoubleAgent利用介绍)》 方法9:waitfor.exe...,用户正常情况下无法读取(使用Win32 API),但系统能够执行(使用Native API) 参考: 《渗透技巧——"隐藏"注册表的创建》 《渗透技巧——"隐藏"注册表的更多测试》 方法19:powershell...当弹出UAC提示框的时候,执行任意代码,可通过修改注册表劫持签名验证的功能,插入payload 参考: 《Authenticode签名伪造——PE文件的签名伪造与签名验证劫持》 ---- Tips 48...(以秒为单位) REG QUERY "HKEY_CURRENT_USER\Control Panel\Desktop" /v ScreenSaveTimeOut ---- Tips 59 隐藏指定进程的界面
Modules)服务在启动时会加载wlbsctrl.dll,但Windows系统默认配置下该dll不存在,如果我们将自己的dll放在这个位置,在服务启动时就能加载该dll——《Lateral Movement...可能大家有一个这样的经历,某程序在执行过程中要求启用弹出UAC要求使用管理员权限,同意之后获得高权限,但实际上,此时操作的应用进程完整性等级为 high,UAC之前应用完整性等级为medium,本质上是以管理权限重新开启了应用程序...然后,使用标准的用户访问令牌来显示桌面(Explorer.exe)。Explorer.exe是父进程,所有其他用户启动的进程都将从该父进程继承其访问令牌。...,任然会看到UAC提示框要求输入管理员凭据(标准用户的提权行为取决于下一小节的的组策略设置) 影响UAC提示的行为的策略 在组策略中有UAC的相关配置选项,这里关注几个设置: ?...在应用程序清单中可以声明程序的执行级别,用来获得应用程序所需要的特权,有3种设置(虽然没有该设置也是一种设置): asInvoker(跟随父进程,默认用户启动的父进程都是explorer.exe,而在UAC
但是在技术细节上也进行了一定的更新,如更新了绕过UAC的技术,更新了根据杀软情况使用不同启动方式等技术。..."寄生兽"是腾讯御见威胁情报在2017年捕捉的一个APT特种木马(以下简称“特马”),该特马的特征为喜欢把恶意文件隐藏在开源的代码或者正常软件中进行伪装,如putty、openssl、zlib等,把少量木马代码隐藏在大量的开源代码中...如果不存在则创建rundll32.exe进程加载本dll并调用其lame3函数: ? Lame3函数主要实现通过修改注册表使得lame.dll开机自启动: ?...3、 绕过uac(bypass uac)分析 WWWWXXXX.dll运行过程中如果发现当前进程非管理员权限,会先释放绕过UAC的dll文件来绕过UAC(756676dbc90f5a66fc565be538dec896...关联一:本次木马文件中含有大量调试提示信息,可见木马名称为Retro,与之前的寄生兽木马一致: ? 关联二:本次攻击使用的部分c2也曾经用于之前的攻击: ? ? ?
隐藏文件 创建系统隐藏文件 attrib +s +a +r +h filename / attrib +s +h filename 利用NTFS ADS (Alternate Data Streams)...UAC 5.2.2.1. 简介 UAC (User Account Control) 是Windows的一个安全机制,当一些敏感操作发生时,会跳出提示显式要求系统权限。...会触发UAC的操作 以管理员权限启动应用 修改系统、UAC设置 修改没有权限的文件或者目录( %SystemRoot% / %ProgramFiles% 等 ) 修改ACL (access control...逻辑漏洞主要是利用系统的一些逻辑存在问题的机制,比如有些文件夹用户可以写入,但是会以管理员权限启动。 5.2.3.1....服务信息 查看进程信息 ps aux 由inetd管理的服务列表 cat /etc/inetd.conf 由xinetd管理的服务列表 cat /etc/xinetd.conf nfs服务器的配置 cat
UAC(user account control),这里科普下UAC的功能,事实上UAC就是大家常见的安装软件或者启动程序的时候的出现的全屏变暗的一个提示框,这里顺便提醒下大家不要把它的提醒级别减少。...这里大家不要蓄意把他的提示级别较低。这样会带来非常大的安全隐患。由于正常的UAC级别下,会检測程序是否有数字签名(可识别程序),以及他的数字签名是否合法。...这对于一部分低端的木马具有提醒作用(注意这里说的是能够提示一般的 灰鸽子等变种,高端的木马会绕过这里,具体思路见后面),好了这里再回头说进程关系,这里先说一句关键的话:进程在创建进程时。...他的父进程能够被指定。这个是在《深入解析Windows操作系统》(第六版)中有具体的说明,里面的意思是这样解释UAC提权的,当用户同意一次UAC提权时。...假设你调试的程序检測父进程,直接用以上的办法启动它,当然父进程就是他检測同意的父进程喽, 这里启动时要注意的是设置CREATE_SUSPEND 就是创建挂起,然后在创建后使用ResumeThread恢复就能够顺利调试了
打开Android Studio正要开发安卓程序,当一些都准备好了开启ADB时闪退,选择启动设备时还出现一堆红色的英文提示: Unable to connect to ADB.Check the Event...杀掉pid为10492的进程 tskill pid号 ? 结果发现又起来一个进程。奇了怪了,进任务管理器看看到底是哪个程序占用着。 ?...结果发现是360的程序占用着ADB的端口 名称 PID 状态 用户名 CPU 内存(活动的专用工作集) UAC 虚拟化 360MobileLink.exe 18784 正在运行 Administrator...00 6,788 K 不允许 又看了下右下角运行的程序 ?...果然是 直接右击退出 再查询下端口号的进程,没了,哈哈哈 ? 启动MuMu模拟器 ? 启动adb便于使用Android Studio在MuMu模拟器上调试程序 ? 再次调试程序,发现好了 ?
主要分析下DDE的启动过程。 1、 运行样本后,首先会弹出两个非安全风险提示的对话框。 ? ?...该命令以-w hidden隐藏窗口,-nop强行绕过UAC执行指令,(New-Object System.Net.WebClient).DownloadString下载远程可执行文件,然后运行。...4、 如果正在运行的程序响应DDE启动请求,则会发送WM_DDE_ACK应答MSWord 然后MSWord更新储存DDE信息结构的第二个成员的数据为应答窗口的HWND,后续WM_DDE_ACK就会响应WM_DDE_TERMINATE...5、 假设目标进程没有运行,根据MSDN的描述,此处应该提示用户目标进程未执行 然而在实际代码中,如果DDE没有收到目标进程应答,会从全局原子中读取出字符串拼接,然后由MSWord创建一个新进程。...6、 然后函数通过调用CreateProcessW创建一个新的进程: ? 由此分析发现,这是一个DDE上的WWLIB实现错误,应该要求用户自己启动目标进程,而不是自动启动目标进程。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
腾讯会议
云直播
对象存储
