MFC管理员权限(UAC下的程序权限提升)



文章来源:KingsamChen的博客 感谢KingsamChen博主对《UAC提升权限》(也就是MFC等程序获取管理员权限)的总结!很优秀,谢谢!

UAC是微软为了提高Windows的安全性,自Windows Vista开始引入的新安全机制。

传统的NT内核系统依靠access token来做权限处理,access token由当前用户所在的用户组的权限决定。而由于长期以来的不当使用习惯问题,几乎所有Windows上用户所在的组都是管理员。

在启用UAC之后,系统会额外引入一个filtered token,并且这个token默认只能按照Standard User的权限去执行。所以这个token也通常被叫做limited filtered token。

PS:关于上面的简单介绍,请参考这里

因为执行权限有限,某些操作必然会要求更高的管理员权限。此时,通常就需要一个privilegs elevation的操作。程序可以向系统请求提权,系统会将此请求通过提一个提示框,请用户确认。

这里多说一点,如果当前用户的用户组权限不是管理员,提权操作是要求输入管理员密码的,这点和在Linux中的相应操作类似。不过我想大部分人的用户组都是管理员,所以这句话当我没说好了…

另外需要注意的一点是,这个elevation是受到一个process-boundary的限制的,具体体现在两方面:

  1. 程序只能在运行前要求提权。如果已经在运行了,那么将失去申请提权的能力
  2. 权限提升仅对此次进程有效

不过,一个具有full administrator token的进程利用CreateProcess创建的进程默认都继承了full administrator token。

提升权限的操作大致有两个:

  1. 自动提权请求
  2. 手动提权请求

自动提权请求

如果你的程序始终要求以full administrator token的模式运行,那么应该考虑在程序启动时自动向系统请求提权。

需要做的事情很简单,只需要更改程序的manifest文件。这个文件本质上是一个XML文件,默认情况下,它的内容因该是:

01<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
02<assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
03<trustInfo xmlns="urn:schemas-microsoft-com:asm.v3">
04<security>
05<requestedPrivileges>
06<requestedExecutionLevel level="asInvoker" uiAccess="false"></requestedExecutionLevel>
07</requestedPrivileges>
08</security>
09</trustInfo>
10</assembly>

只要将requestExecutionLevel的level的值改成requiredAdministrator,再重新将这个文件链接入EXE即可。

另外,如果使用Visual Studio作为开发环境,直接在项目的属性里可以更改UAC的权限要求设置

UAC下的程序权限提升

UAC下的程序权限提升

手动提权请求

如果进程在运行途中需要full administrator token怎么办?

答案是,没办法。具体原因前面说了。

不过,一个具有limited filtered token的进程是可以运行一个程序,并且让这个程序去请求系统提权。而且,我们可以让这个进程去再一次运行自己的EXE文件,并且请求提权。

这里需要的API是ShellExecuteEx而不是根正苗红的CreateProcess。因为后者没有和UAC相关的属性设置

ShellExecuteEx需要一个SHELLEXECUTEINFO结构,这个结构如下:

01typedef struct _SHELLEXECUTEINFO {
02DWORD cbSize;
03ULONG fMask;
04HWND hwnd;
05LPCTSTR lpVerb;
06LPCTSTR lpFile;
07LPCTSTR lpParameters;
08LPCTSTR lpDirectory;
09int nShow;
10HINSTANCE hInstApp;
11LPVOID lpIDList;
12LPCTSTR lpClass;
13HKEY hkeyClass;
14DWORD dwHotKey;
15union {
16HANDLE hIcon;
17HANDLE hMonitor;
18} DUMMYUNIONNAME;
19HANDLE hProcess;
20} SHELLEXECUTEINFO, *LPSHELLEXECUTEINFO;

这里我们需要关心大概只有三个成员:lpVerb,lpFile和nShow

lpVerb必须被设置为runas;而lpFile是要运行可执行文件的完整路径;nShow控制窗口的显示。

需要关注nShow是因为大部分初始化操作都将这个属性默认初始化为0,很不巧的是,0对应的属性是SW_HIDE。除非你不需要窗体,否则还是需要手动调教下这个成员。

通常来说,如果某个程序运行途中可以通过触发,转而使用full administrator token运行,那么八成是利用这个API重新运行EXE文件,再将原有的程序退出或者隐藏。

至于剩下的那两成,表示不明白,不过我想可以请教传说中的花大婶。

Demo

自己手写了一个Demo,程序默认以limited filtered token运行。单击提权按钮,向系统请求提权。

默认时是这样:

MFC管理员运行

MFC管理员运行

提升权限后是这样:

MFC管理员运行

MFC管理员运行

核心代码是两块:

  1. 判断当前进程是否已经提权. 这个通过判断当前进程的token信息获得
  2. 提权运行. 如前所述,利用ShellExecuteEx

具体代码可以看这里

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值