在LocalSystem账户下启动应用程序且无UAC弹框(Vista及其后)

最新推荐文章于 2022-10-11 08:16:04 发布
最新推荐文章于 2022-10-11 08:16:04 发布
阅读量980 收藏 2
点赞数
分类专栏: WINDOWS编程 文章标签: LocalSystem账户 UAC弹框 服务中启动应用程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huhaoxuan2010/article/details/78665950
版权

本章在LocalSystem账户下通过一个服务辅助程序来介绍如何从session 0到session 1启动一个应用程序。

在Vista系统中,遇到的问题是在administrator账户下想要启动一个exe程序来执行一些任务,但是由于弹出的UAC对话框让用户不得不做出去做一些操作而导致失败。围绕这个问题,想到了通过服务来启动应用程序,这过程会以LocalSystem账号权限切换到当前用户的session。这就解决了弹出要求用户给出响应的UAC对话框问题了。在这种方式下,可以让应用程序以最高权限运行,绕过UAC对话框。在这种情况下,用这种方式是必须的,因为要在没有用户干预的情况下,与以administrator权限的应用程序进行通信以及做一些控制操作,并且在系统启动时在当前用户session内做一些administrative的任务操作。

这儿有一个普通用户模式的应用程序要通过客户端消息与服务进行通信。一旦服务接收到客户端消息,服务就要在系统账户下启动所指定的应用程序。为了获取到一个LocalSystem账户的token,这儿使用了winlogon的token,由于winlogon.exe就是运行在LocalSystem账户下的。(在Vista中,服务是处于session 0中的并且第一个用户以session 1登录,不像在XP中)。

首先编写一个文件CustomMessageSender.cpp。这是用户模式下的应用程序,它会与服务进行通信。这个应用程序可以是任何没有特权的普通应用程序。

#define SERVICE_NAME _T("CustomSvc")
//CUSTOM MESSAGE FOR SERVICE TO LAUNCH THE PROCESS INTO SESSION 1
#define SERVICE_CONTROL_CUSTOM_MESSAGE 0x0085

int _tmain(int argc, _TCHAR* argv[])
{
    SC_HANDLE hMyService,hSCM;
    BOOL bSuccess;
    SERVICE_STATUS status;
    hSCM = OpenSCManager(0,0,SC_MANAGER_CONNECT);
    if(!hSCM)
    {
        printf("Open SCM failed with error %u",GetLastError());
    }
    hMyService = OpenService(hSCM,SERVICE_NAME,SERVICE_USER_DEFINED_CONTROL);
    if(!hMyService)
    {
        printf("Open SCM failed with error %u",GetLastError());
    }
    bSuccess = ControlService(hMyService,SERVICE_CONTROL_CUSTOM_MESSAGE,&status);
    if(!bSuccess)
    {
        printf("Control Service failed with error %u",GetLastError());
    }
    CloseServiceHandle(hMyService);
    CloseServiceHandle(hSCM);
    return 0;
}

上面的代码非常简单直接,使用SERVICE_USER_DEFINED_CONTROL和SC_MANAGER_CONNECT访问权限是因为任何用户模式应用程序都能够与服务连接以发送客制化的消息。不要求有admin权限。所以该应用程序发送SERVICE_CONTROL_CUSTOM_MESSAGE到服务。代码的服务部分接收消息并启动下面的应用程序。 

//CUSTOM MESSAGE FOR SERVICE TO LAUNCH AN APP INTO SESSION 1
#define SERVICE_CONTROL_CUSTOM_MESSAGE 0x0085

//Method to launch an application into session 1 under 
//the local system account

BOOL LaunchAppIntoDifferentSession();
.
.
.
.
.
.
.
.
.
void WINAPI ServiceCtrlHandler(DWORD Opcode)
{
  switch(Opcode)
  {
//
//Added By Jaisvar on 04/11/07 to receive a custom message from a user app

    case SERVICE_CONTROL_CUSTOM_MESSAGE:
        LaunchAppIntoDifferentSession();
    break;


上面代码片段,已经介绍了客户端消息和函数原型,该函数原型一旦接收到客户端消息就会被执行。先介绍一下LaunchAppIntoDifferentSession方法。为了在LocalSystem下启动一个进程,做了以下步骤:

1.使用函数WTSGetActiveConsoleSessionId 获取激活控制台的session ID。

2.由于必须在系统账户下启动应用程序,因此就使用来自Winlogon的token,由于Winlogon是运行在系统账户下的。因此获取到Winlogon的进程ID并复制token。

3.随后确保发送startupinfo参数lpDesktop到winsta0\default,由于需要在那儿启动线程。

4.随后使用带Winlogon的复制token参数的CreateProcessAsUser来启动进程到session 1.

5.完成

BOOL LaunchAppIntoDifferentSession()
{
   PROCESS_INFORMATION pi;
   STARTUPINFO si;
   BOOL bResult = FALSE;
   DWORD dwSessionId,winlogonPid;
   HANDLE hUserToken,hUserTokenDup,hPToken,hProcess;
   DWORD dwCreationFlags;

// Log the client on to the local computer.

   dwSessionId = WTSGetActiveConsoleSessionId();

//
   // Find the winlogon process


   PROCESSENTRY32 procEntry;

    HANDLE hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
    if (hSnap == INVALID_HANDLE_VALUE)
    {
        return 1 ;
    }

    procEntry.dwSize = sizeof(PROCESSENTRY32);

    if (!Process32First(hSnap, &procEntry))
    {
        return 1 ;
    }

    do
    {
        if (_stricmp(procEntry.szExeFile, "winlogon.exe") == 0)
        {
            // We found a winlogon process...
        // make sure it's running in the console session
            DWORD winlogonSessId = 0;
            if (ProcessIdToSessionId(procEntry.th32ProcessID, &winlogonSessId) 
                    && winlogonSessId == dwSessionId)
            {
                winlogonPid = procEntry.th32ProcessID;
                break;
            }
        }

    } while (Process32Next(hSnap, &procEntry));



   WTSQueryUserToken(dwSessionId,&hUserToken);
   dwCreationFlags = NORMAL_PRIORITY_CLASS|CREATE_NEW_CONSOLE;
   ZeroMemory(&si, sizeof(STARTUPINFO));
   si.cb= sizeof(STARTUPINFO);
   si.lpDesktop = "winsta0\\default";
   ZeroMemory(&pi, sizeof(pi));
   TOKEN_PRIVILEGES tp;
   LUID luid;
   hProcess = OpenProcess(MAXIMUM_ALLOWED,FALSE,winlogonPid);

   if(!::OpenProcessToken(hProcess,TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY
                 |TOKEN_DUPLICATE|TOKEN_ASSIGN_PRIMARY|TOKEN_ADJUST_SESSIONID
                          |TOKEN_READ|TOKEN_WRITE,&hPToken))
   {
               int abcd = GetLastError();
               printf("Process token open Error: %u\n",GetLastError());
   }

   if (!LookupPrivilegeValue(NULL,SE_DEBUG_NAME,&luid))
   {
       printf("Lookup Privilege value Error: %u\n",GetLastError());
   }
   tp.PrivilegeCount =1;
   tp.Privileges[0].Luid =luid;
   tp.Privileges[0].Attributes =SE_PRIVILEGE_ENABLED;

   DuplicateTokenEx(hPToken,MAXIMUM_ALLOWED,NULL,
            SecurityIdentification,TokenPrimary,&hUserTokenDup);
   int dup = GetLastError();

   //Adjust Token privilege
   SetTokenInformation(hUserTokenDup,
        TokenSessionId,(void*)dwSessionId,sizeof(DWORD));

   if (!AdjustTokenPrivileges(hUserTokenDup,FALSE,&tp,sizeof(TOKEN_PRIVILEGES),
                        (PTOKEN_PRIVILEGES)NULL,NULL))
   {
       int abc =GetLastError();
       printf("Adjust Privilege value Error: %u\n",GetLastError());
   }

   if (GetLastError()== ERROR_NOT_ALL_ASSIGNED)
   {
     printf("Token does not have the provilege\n");
   }

   LPVOID pEnv =NULL;

   if(CreateEnvironmentBlock(&pEnv,hUserTokenDup,TRUE))
   {
       dwCreationFlags|=CREATE_UNICODE_ENVIRONMENT;
   }
   else
      pEnv=NULL;

// Launch the process in the client's logon session.

  bResult = CreateProcessAsUser(
      hUserTokenDup,                     // client's access token
      _T("C:\\SessionLauncher\\a.exe"),    // file to execute
      NULL,                 // command line
      NULL,            // pointer to process SECURITY_ATTRIBUTES
      NULL,               // pointer to thread SECURITY_ATTRIBUTES
      FALSE,              // handles are not inheritable
      dwCreationFlags,     // creation flags
      pEnv,               // pointer to new environment block
      NULL,               // name of current directory
      &si,               // pointer to STARTUPINFO structure
      &pi                // receives information about new process
   );
// End impersonation of client.

//GetLastError Shud be 0

   int iResultOfCreateProcessAsUser = GetLastError();

//Perform All the Close Handles tasks

  CloseHandle(hProcess);
  CloseHandle(hUserToken);
  CloseHandle(hUserTokenDup);
  CloseHandle(hPToken);

 return 0;
}


使用这种方式之后,一个普通用户模式应用程序就能够通过发送客户消息到服务,在LocalSystem账户下来启动它自己了,并且不会有UAC对话框弹窗的出现。

为什么这就能阻止弹窗出现呢?

1.使用GetUserName() API获取当前登录用户名

2.在系统账户下访问HKCU

当启动一个要求提权的进程时,从用户空间去绕过UAC对话框几乎是不可能的,由于这是Microsoft设计好的。尽管通过改变内核模式代码(DKOM概念)可能办到,但是仍然是从用户空间的,这儿能够想到的最好方式就是模拟系统账户扮演当前登录用户来访问HKCU。这儿使用Explorer进程来达到目的,由于它是运行在用户账户下的。

模拟用户token会引起当前工作现场运行在用户上下文中。记住若使用CreateProcess()它仍然会在系统账户下创建线程,由于整个过程仍然运行在LocalSystem账户下。

下面是代码,这些代码要写入到会被服务启动的应用程序中去。

DWORD dwSessionId,dwExplorerLogonPid,dwSize,dwRegDataSize;
HANDLE hProcess,hPToken;
char szUserName[MAX_PATH];
char szRegData[MAX_PATH];
char szRegPath[500] = "Software\\Microsoft\\Windows\\CurrentVersion\\Run";
HKEY hKey; //Handle to registry Key
long lRegResult; //Registry operation result

//Get the active desktop session id
dwSessionId = WTSGetActiveConsoleSessionId();

//We find the explorer process since it will have the user token

//
   // Find the explorer process


   PROCESSENTRY32 procEntry;

    HANDLE hSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
    if (hSnap == INVALID_HANDLE_VALUE)
    {
        return 1 ;
    }

    procEntry.dwSize = sizeof(PROCESSENTRY32);

    if (!Process32First(hSnap, &procEntry))
    {
        return 1 ;
    }

    do
    {
        if (_stricmp(procEntry.szExeFile, "explorer.exe") == 0)
        {
          DWORD dwExplorerSessId = 0;
          if (ProcessIdToSessionId(procEntry.th32ProcessID, &dwExplorerSessId) 
                    && dwExplorerSessId == dwSessionId)
            {
                dwExplorerLogonPid = procEntry.th32ProcessID;
                break;
            }
        }

    } while (Process32Next(hSnap, &procEntry));


hProcess = OpenProcess(MAXIMUM_ALLOWED,FALSE,dwExplorerLogonPid);

   if(!::OpenProcessToken(hProcess,TOKEN_ADJUST_PRIVILEGES|TOKEN_QUERY
              |TOKEN_DUPLICATE|TOKEN_ASSIGN_PRIMARY|TOKEN_ADJUST_SESSIONID
              |TOKEN_READ|TOKEN_WRITE,&hPToken))
   {
               int abcd = GetLastError();
               printf("Process token open Error: %u\n",GetLastError());
   }


需要模拟服务的token来以用户身份运行以访问注册表。这会让工作线程运行在用户token的上下文中。

//Impersonate the explorer token which runs under the user account
ImpersonateLoggedOnUser(hPToken);

int iImpersonateResult = GetLastError();

if(iImpersonateResult == ERROR_SUCCESS)
{
  //GetUserName will now return the username
  GetUserName(szUserName,&dwSize);

 //Since the thread is running as the user we can access the HKCU now
  dwRegDataSize = sizeof(szRegData);
  lRegResult = RegOpenKeyEx(HKEY_CURRENT_USER,
            szRegPath,0,KEY_QUERY_VALUE,&hKey);
  if (lRegResult == ERROR_SUCCESS)
     RegQueryValueEx(hKey,_T("SideBar"),NULL,NULL,
            (LPBYTE)&szRegData,&dwRegDataSize);
}
//Once the operation is over revert back to system account.
RevertToSelf();




参考网址


x-2010
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
UAC 管理员权限 程序 防止弹窗的四种解决办法
06-10
防止管理员权限启动时,出现一个管理员授权弹窗的问题;
delphi应用程序在win7 Vista下获取管理员权限的解决方案
06-06
delphi应用程序在win7 Vista下获取管理员权限的解决方案 在程序program文件{$R *.res}后面加入 {$R uac.res}
Windows 应用程序添加管理员权限(UAC,一键添加小盾牌)
07-27
Qt/VS/VC/等编译的软件一键添加小盾牌,获取管理员权限 把exe软件复制到本目录下,右键打开uac.bat,按照文件名修改其内容。然后保存,运行bat,即可获取管理员权限。 嘎嘎
关闭UAC &以管理员方式运行所有程序.bat
09-12
右键-以管理员方式运行此批处理-重启-会得到两个效果: 效果1:鼠标左键双击任何程序都是以管理员身份运行,等同于鼠标右键-以管理员身份运行。 效果2:UAC用户控制设置滑块调为最最低(从不通知)。
How To Create a User-Defined Service
03-14
NULL 博文链接:https://mat.iteye.com/blog/314966
内置系统账户:Local system/Network service/Local Service 区别
weixin_34220623的博客
07-03 721
参考文献: http://www.cnblogs.com/xianspace/archive/2009/04/05/1429835.html 前言 今天在安装sqlserver2008 r2的时候,在Server Configuration阶段要求我设定sqlserver各种服务账户名称,如下图所示: 账户类型可以在后期修改,改的就是服务的log on as里面的属性。 那么L...
SYSTEM权限引发的系列问题
jackey3Lin的专栏
11-18 5011
Windows下的服务程序(S程序)都是以SYSTEM权限启动的,通过服务程序启动的程序(N程序)自然也会是SYSTEM权限的,而如果开发N的时候没有考虑到SYSTEM权限这种情况,那么有可能N就无法正常的运行于SYSTEM权限下。 场景:客户需要在服务下运行我的程序,在这样的情况下我的程序崩溃了:(为了方便调试,我给程序添加了崩溃转储功能,把DUMP文件拿回来之后用Windbg调试了一下,发现
使用WMI来设置服务(Windows Service)的运行帐号
weixin_30612769的博客
08-01 920
Windows Service运行的账号类型有两种: 1) 本地系统帐号(Local System Account); 使用此帐号,Windows Service即使用当前登录的系统帐号来运行服务。使用此类型帐号,可通过打开Allow service to interact with desktop选项来允许服务与桌面交互;譬如从服务向一个窗口发送消息。 2) 其它帐号; ...
local system账号
okxcko的博客
07-28 159
https://docs.microsoft.com/zh-cn/windows/win32/services/localsystem-account https://www.cnblogs.com/nixiwang/p/4690895.html https://qastack.cn/server/135867/how-to-grant-network-access-to-localsystem-account https://blog.csdn.net/weixin_31437777/article
未分类--Windows API--CreateEnvironmentBlock
Coperator
01-05 1626
原文来自MSDN Library for Visual Studio 2008 SP1,翻译部分仅为个人观点,想要看更多信息请看MSDN,如有版权问题请联系QQ 643166601,邮件[email protected]   CreateEnvironmentBlock Function -----------------------------------------------------
全自动快速关闭UAC,无须重启即生效,必备工具
11-25
自动快速关闭UAC,用户账户控制,不须重启! 小巧.快速.适合vista,及win7
CMD命令行以管理员权限启动应用程序实现方法
09-21
主要介绍了CMD命令行以管理员权限启动应用程序实现方法,本文使用一个JS脚本来实现,需要的朋友可以参考下
通过给程序里嵌入manifest,使得程序运行时弹出UAC窗口
飞空静渡
02-15 8082
我们知道,当一个程序需要权限运行时,需要右键点击程序,然后使用管理员权限打开程序。另外,如果你用vc2008以上开发程序,可以在工程里选择uac,在生成的程序里,如果点击运行程序会弹出需要管理员权限运行程序的窗口。 现在可以通过把manifest嵌入普通程序里来达到这个效果。 现在说一下怎么样给一个普通的在单击运行时不会弹出需要管理员权限的程序增加这个功能。 1、假使这个普通
Windows10指定某一个程序单独不弹出UAC的方法(注册表方法)
qq_35299654的博客
10-11 1744
win8 win10系统的UAC(用户账户控制)在加强了我们使用电脑安全的同时也带了一些不便,在不关闭uac的情况下有些程序我们并不需要弹出uac对话框,但是Windows并没有提供设置单独取消某一个文件的UAC管理,只能全部关闭或者全部开启,这样很不方便也不安全。6、到这里全部设置就完毕,以后打开该程序就不会再有UAC提示了,如果要恢复UAC提示,删除刚才新建的注册表即可或者将参数改为原始的“RUNASADMIN”即可。(如果您的程序不在注册表内,可以跳过此步,看第4条。4、您可以创建一个字符串值。
local service system账户_在计算机一般含有一下用户名:默认的administrator;system;network service;local service;guest...
weixin_32875295的博客
01-27 1201
展开全部dwm是桌e68a843231313335323631343130323136353331333363386137面窗口管理器(Desktop Window Manager)进程。你每登录一次桌面/系统就会启动这样一个进程的,登录会话ID顺序加1,由虚拟用户组Windows Manager顺序生成的DWM-x(sid为S-1-5-90-x)用户启动dwm运行。比如你第一次登录系统时,生成登...
c++ windows 服务打开exe失败解决方案
iloveyou418的博客
12-13 1198
原因:windowsservice程序不存在界面交互,所以要做权限击穿,具体实现方法如下 DWORD _stdcall LaunchAppIntoDifferentSession( LPTSTR lpCommand ) { DWORD dwRet = 0; PROCESS_INFORMATION pi; STARTUPINFO si; DWORD dwSessionId; HANDL...
windows服务创建带界面的窗口进程(穿透Session 0 隔离)
skjie的博客
11-26 3273
Windows下服务直接启动窗口程序时,在任务管理器可以看到窗口程序正在运行,但是桌面上并没有显示出窗口。 这是因为在Windows XP、Windows Server 2003 或早期Windows 系统时代,当第一个用户登录系统后服务应用程序是在同一个Session 运行的,也就是Session 0。 但是这种运行方式提高了系统安全风险,因为服务是通过提升了用户权限运行的,而应用程序往往是那些不具备管理员身份的普通用户运行的,其的危险显而易见。...
Windows高权限程序以低权限启动子进程
旋律的博客
03-08 709
Windows高权限程序以低权限启动子进程 windows父进程为高权限如何以低权限启动子进程,在本文给出一种方法,供读者参考。 实现思路: 再任务管理其找到一个低权限的程序,一般explorer.exe是以当前用户普通权限启动。我们这里使用explorer.exe为例。 首先需要根据程序名获取explorer.exe的token,并根据这个token利用DuplicateTokenEx函数复制一个新的token用于创建新的子进程。利用这个token创建新的环境变量。然后利用新的token和环.
c++ exe生成程序无uac权限图标
最新发布
01-25
当" C.exe" 程序生成时,因为缺乏用户账户控制(UAC)的权限,可能会导致程序的图标无法正确显示。用户账户控制是Windows操作系统的一项安全功能,用于防止未经授权的程序对系统进行更改。如果程序没有足够的权限,系统会限制其对某些功能和资源的访问,包括图标的显示。 要解决这个问题,可以通过以下方法来赋予程序足够的权限以正确显示图标。首先,可以尝试修改程序的属性,找到"兼容性"选项卡,然后勾选"以管理员身份运行这个程序"的选项。这样程序运行时会获得管理员权限,可能可以解决图标显示的问题。 另外,可以尝试修改程序的注册表项,以确保程序有足够的权限访问系统资源。这需要谨慎操作,确保不会对系统造成不良影响。此外,还可以检查程序的用户权限,以确保其能够正常访问系统资源。 总之,解决 "C.exe" 生成程序无UAC权限图标的方法可以分为修改程序属性、注册表项和用户权限等多个方面来尝试,确保程序能够获得足够的权限以正确显示图标。需要注意的是,对系统进行修改时应该谨慎操作,避免对系统造成不良影响。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值