如何在Vista中不弹出UAC以本地系统账户启动程序
本文讲解如何以本地系统账户从会话0至会话1启动一个程序。
简介
在Vista中,你可能也遇到过这样的问题,当想要以管理员账户启动一个exe执行某些特定任务时,往往UAC权限提升对话框就出来了。为解决这个问题,可把一个服务以本地系统账户权限放入到当前用户会话中,来启动所需的程序,这就不需要我们响应UAC对话框了,并以尽可能最高的权限来运行程序。在某些情况中,这是必不可少的,因为某些程序需要在无用户干预的情况下,以管理员权限相互控制与通讯,并在操作系统启动时,在当前用户会话中执行一些管理性的任务。
背景
有一个普通用户模式的程序,其通过自定义消息与某个服务进行通讯,当接收到自定义消息时,服务将会以系统账户启动所请求的程序。这里使用了winlogon的令牌来获取本地系统账户,因为winlogon.exe正运行在本地系统账户下。(不像XP,在Vista中,服务运行在会话0中,而第一个登录在会话1中,以此类推)
使用的代码
先来看一下CustomMessageSender.cpp这个文件,这是一个用户模式程序,其负责与服务通讯,且没有任务特权。
#define SERVICE_NAME _T("CustomSvc")
//为服务自定义消息,以便在会话1中启动相关进程
#define SERVICE_CONTROL_CUSTOM_MESSAGE 0x0085
int _tmain(int argc, _TCHAR* argv[])
{
SC_HANDLE hMyService,hSCM;
BOOL bSuccess;
SERVICE_STATUS status;
hSCM = OpenSCManager(0,0,SC_MANAGER_CONNECT);
if(!hSCM)
{
printf("Open SCM failed with error %u",GetLastError());
}
hMyService = OpenService(hSCM,SERVICE_NAME,SERVICE_USER_DEFINED_CONTROL);
if(!hMyService)
{
printf("Open SCM failed with error %u",GetLastError());
}
bSuccess = ControlService(hMyService,SERVICE_CONTROL_CUSTOM_MESSAGE,&status);
if(!bSuccess)
{
printf("Control Service failed with error %u",GetLastError());
}
CloseServiceHandle(hMyService);
CloseServiceHandle(hSCM);
return 0;
}
代码非常简单,使用了SERVICE_USER_DEFINED_CONTROL与SC_MANAGER_CONNECT访问权限,因为任何用户模式的程序都能连接到我们的服务,并向它发送自定义消息,在这并不需要管理员权限。这个程序向服务发送SERVICE_CONTROL_CUSTOM_MESSAGE,服务收到消息并启动相应的程序。以下是一段简单的服务代码:
//为服务自定义消息,以便在会话1中启动相关进程
#define SERVICE_CONTROL_CUSTOM_MESSAGE 0x0085
//以本地系统账户,在会话1下启动程序的方法
BOOL LaunchAppIntoDifferentSession();
.
省略...
void WINAPI ServiceCtrlHandler(DWORD Opcode)
{
switch(Opcode)
{
//
//从用户程序接受到一个自定义消息
case SERVICE_CONTROL_CUSTOM_MESSAGE:
LaunchAppIntoDifferentSession();
break;
在这段代码中,声明了自定义消息与方法原型,先来说一下这个LaunchAppIntoDifferentSession方法。为达到以本地系统账户启动一个进程的目的,需要以下步骤:
1、 用WTSGetActiveConsoleSessionId,得到目前活动的控制台SessionID。
2、 因为需要以系统账户启动程序,所以要使用从Winlogon得到的令牌(因为Winlogon运行在系统账户下)。取得Winlogon进程ID并复制令牌。
3、 在CreateProcessAsUser中,用复制的Winlogon令牌以会话1启动相应程序。
BOOL LaunchAppIntoDifferentSession()
{
PROCESS_INFORMATION pi;
STARTUPINFO si;
BOOL bResult = FALSE;
DWORD dwSessionId,winlogonPid;
HANDLE hUserToken,hUserTokenDup,hPToken,hProcess;
DWORD dwCreationFlags;
dwSessionId = WTSGetActiveConsoleSessionId();
//
//查找winlogon进程
PROCESSENTRY32 procEntry;
HANDLE hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
if (hSnap == INVALID_HANDLE_VALUE)
{
return 1 ;
}
procEntry.dwSize = sizeof(PROCESSENTRY32);
if (!Process32First(hSnap, &procEntry))
{
return 1 ;
}
do
{
if (_stricmp(procEntry.szExeFile, "winlogon.exe") == 0)
{
//找到winlogon进程
//确定它运行在控制台会话中
DWORD winlogonSessId = 0;
if (ProcessIdToSessionId(procEntry.th32ProcessID, &winlogonSessId)
&& winlogonSessId == dwSessionId)
{
winlogonPid = procEntry.th32ProcessID;
break;
}
}
} while (Process32Next(hSnap, &procEntry));
WTSQueryUserToken(dwSessionId,&hUserToken);
dwCreationFlags = NORMAL_PRIORITY_CLASS|CREATE_NEW_CONSOLE;
ZeroMemory(&si, sizeof(STARTUPINFO));
si.cb= sizeof(STARTUPINFO);
si.lpDesktop = "winsta0//default";
ZeroMemory(&pi, sizeof(pi));
TOKEN_PRIVILEGES tp;
LUID luid;
hProcess = OpenProcess(MAXIMUM_ALLOWED,FALSE,winlogonPid);
if(!::OpenProcessToken(hProcess,TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY
|TOKEN_DUPLICATE|TOKEN_ASSIGN_PRIMARY|TOKEN_ADJUST_SESSIONID
|TOKEN_READ|TOKEN_WRITE,&hPToken))
{
int abcd = GetLastError();
printf("Process token open Error: %u/n",GetLastError());
}
if (!LookupPrivilegeValue(NULL,SE_DEBUG_NAME,&luid))
{
printf("Lookup Privilege value Error: %u/n",GetLastError());
}
tp.PrivilegeCount =1;
tp.Privileges[0].Luid =luid;
tp.Privileges[0].Attributes =SE_PRIVILEGE_ENABLED;
DuplicateTokenEx(hPToken,MAXIMUM_ALLOWED,NULL,
SecurityIdentification,TokenPrimary,&hUserTokenDup);
int dup = GetLastError();
//调整令牌权限
SetTokenInformation(hUserTokenDup,
TokenSessionId,(void*)dwSessionId,sizeof(DWORD));
if (!AdjustTokenPrivileges(hUserTokenDup,FALSE,&tp,sizeof(TOKEN_PRIVILEGES),
(PTOKEN_PRIVILEGES)NULL,NULL))
{
int abc =GetLastError();
printf("Adjust Privilege value Error: %u/n",GetLastError());
}
if (GetLastError()== ERROR_NOT_ALL_ASSIGNED)
{
printf("Token does not have the provilege/n");
}
LPVOID pEnv =NULL;
if(CreateEnvironmentBlock(&pEnv,hUserTokenDup,TRUE))
{
dwCreationFlags|=CREATE_UNICODE_ENVIRONMENT;
}
else
pEnv=NULL;
//在用户登录的会话中启动进程
bResult = CreateProcessAsUser(
hUserTokenDup, //用户的访问令牌
_T("C://SessionLauncher//a.exe"), //要执行的文件
NULL, //命令行
NULL, //进程指针SECURITY_ATTRIBUTES
NULL, //线程指针SECURITY_ATTRIBUTES
FALSE, //句柄不可继承
dwCreationFlags, //创建标志
pEnv, //指向新环境块的指针
NULL, //当前目录名
&si, //指向STARTUPINFO结构的指针
&pi //新进程的相关信息
);
int iResultOfCreateProcessAsUser = GetLastError();//此处结果应为0
//关闭所有句柄
CloseHandle(hProcess);
CloseHandle(hUserToken);
CloseHandle(hUserTokenDup);
CloseHandle(hPToken);
return 0;
}
这样一来,普通用户模式的程序就能向服务发送一自定义消息,以在本地系统账户下启动自身,而无须弹出UAC对话框。
可能你要问了:怎样用GetUserName() API来返回当前已登录用户、怎样在系统账户下访问HKCU。事实上,当我们启动一个需要提升权限的进程时,不可能从用户角度绕过UAC对话框,因为微软就是这样设计的。尽管写一些内核模式代码可能会达到此目的,但最好还是模仿系统账户来访问HKCU。在此使用了Explorer进程,因为它运行在用户账户中。
模仿用户令牌会导致当前工作者线程运行于用户上下文中。请注意,如果你使用CreateProcess(),它仍会在系统账户下生成进程,因为我们总的进程仍是运行在本地系统账户之下。
以下便是大致的代码,这段代码需要写进由服务启动的程序中:
DWORD dwSessionId,dwExplorerLogonPid,dwSize,dwRegDataSize;
HANDLE hProcess,hPToken;
char szUserName[MAX_PATH];
char szRegData[MAX_PATH];
char szRegPath[500] = "Software//Microsoft//Windows//CurrentVersion//Run";
HKEY hKey; //用于注册表键值的句柄
long lRegResult; //注册表操作结果
//取当前活动的桌面会话id
dwSessionId = WTSGetActiveConsoleSessionId();
//
//查找explorer进程
PROCESSENTRY32 procEntry;
HANDLE hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
if (hSnap == INVALID_HANDLE_VALUE)
{
return 1 ;
}
procEntry.dwSize = sizeof(PROCESSENTRY32);
if (!Process32First(hSnap, &procEntry))
{
return 1 ;
}
do
{
if (_stricmp(procEntry.szExeFile, "explorer.exe") == 0)
{
DWORD dwExplorerSessId = 0;
if (ProcessIdToSessionId(procEntry.th32ProcessID, &dwExplorerSessId)
&& dwExplorerSessId == dwSessionId)
{
dwExplorerLogonPid = procEntry.th32ProcessID;
break;
}
}
} while (Process32Next(hSnap, &procEntry));
hProcess = OpenProcess(MAXIMUM_ALLOWED,FALSE,dwExplorerLogonPid);
if(!::OpenProcessToken(hProcess,TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY
|TOKEN_DUPLICATE|TOKEN_ASSIGN_PRIMARY|TOKEN_ADJUST_SESSIONID
|TOKEN_READ|TOKEN_WRITE,&hPToken))
{
int abcd = GetLastError();
printf("Process token open Error: %u/n",GetLastError());
}
我们需要模仿服务令牌,以便作为用户运行来访问注册表,这会导致我们的工作者线程运行在用户令牌上下文中。
//模仿explorer令牌,其运行于用户账户下
ImpersonateLoggedOnUser(hPToken);
int iImpersonateResult = GetLastError();
if(iImpersonateResult == ERROR_SUCCESS)
{
GetUserName(szUserName,&dwSize);
//因为线程作为用户运行,现在就可以访问HKCU了
dwRegDataSize = sizeof(szRegData);
lRegResult = RegOpenKeyEx(HKEY_CURRENT_USER,
szRegPath,0,KEY_QUERY_VALUE,&hKey);
if (lRegResult == ERROR_SUCCESS)
RegQueryValueEx(hKey,_T("SideBar"),NULL,NULL,
(LPBYTE)&szRegData,&dwRegDataSize);
}
//一旦操作完成,回复到系统账户
RevertToSelf();