关于gappproxy我想说在Windbg中明查OS实现UAC验证全流程「1」

0、介绍

解释UAC除权的句子中有很多除权法，目前不完全统计约有65种方法，但很少或很少提到OS是如何完成UAC验证的句子。本文以作者之前的小调试分析为基础，记录相关细节，与大家一起学习和交流。整个系列的相关知识：

0、Windbg调试及相关技术；

1、窥探OS的白名单和白名单列表；

2、查询操作系统的受信任目录和受信任目录列表。

3、画窗户[是的，你没有错，授权窗口与画有关]；

4、程序内置程序清单；

5、服务程序调试；

1、进程之间的父子关系图。

首先，必须明确下一步要处理的几个过程的关系。大约涉及四个过程。但是，要创建的目标过程对我们分析的内部验证机制并不重要。只需要一些静态信息。因此，虽然重点是分析三个过程之间的关系，但为了不失去一般性，最好挂在地图上。(大卫亚设)。

情况1右键单击任务栏并启动任务管理器，直到Taskmgr进程开始。与期间相关的流程如下：

Ex——此过程只负责通过调用CreateProcess()启动生成过程的请求。ais ——33543354——完成各种验证、通过验证并创建指定的流程。

读者有两个问题：

1)正在创建的进程的父进程是explorer，您可以在此处看到AIS创建了该进程。是不是错了，如果没有错的话，原因是什么？(注：Explorer、AIS、AIS、AIS、AIS、AIS、AIS、AIS)

2)explorer明明是meduim完整性级别，为什么生成的过程是High完整性级别？

方案2双击桌面上的应用程序(需要管理员权限才能启动此应用程序的应用程序，通常包括盾牌)，直到弹出框：

Ex-此过程只负责通过调用CreateProcess()启动创建过程的请求。

ais ——3354——完成各种验证、通过验证并创建指定的流程。

Con—画界面，谈论盒子，确认是否授予用户权限，结果是AIS只是通知。

读者有一个问题。

1)因为con弹出了一个框，可以确认是否授予用户权限，所以可以模拟鼠标或键盘动作来模拟点击权限吗？(威廉莎士比亚、视窗、母语者、母语者、母语者、母语者、母语者)

场景3作为管理员程序运行，直到右键单击桌面上的应用程序弹出框。这一系列任务包括：

Ex-此过程只负责通过调用CreateProcess()启动创建过程的请求。

ais ——3354——完成各种验证、通过验证并创建指定的流程。

Con—画界面，谈论盒子，确认是否授予用户权限，结果是AIS只是通知。

来，给你一张地图，如下所示。

2、Manifest和盾仇。

2.1完整性级别

Manifest在哪里神圣，请自行百度解决。今天要讨论的是与“维权”相关的部分。Windows在桌面上绘制exe的图标时，如何知道需要添加哪些盾牌，不需要添加哪些？一种常用方法是查看清单文件并浏览主键字段。当然，做不正常的头发是看它的导入表、调用了什么特权API等。让我们看一下这个Manifset文件。两个exe示例，一个是Ta，另一个是常规exe文件。在Exe中查看清单文件有多种方法。以下是两种方法。

方法1: mt.exe工具，演示如下：

mt . exe-input resource : c : users administrator desktop ta

-out : c : users administrator desktop ta

将在指定目录中创建打开的Ta文件，如下所示：

两个比较重要的已经用红盒子出来了，简单的说明如下。

1)requestedExecutionLevel表示程序所需的权限，通常设置如下：

AsInvoker

RequireAdministrator

HighestAvailable

AsInvoker:您可以知道父流程是什么权限级别，以及将此应用程序作为子流程运行时是什么权限级别。

RequireAdministrator:此程序必须以管理员权限运行。资源管理器中可见的程序图标右下角有盾牌图标。

HighestAvailable:此程序以当前用户可以获得的最高权限运行。

如果指定为HighestAvailable:

1.以管理员帐户运行此程序需要提高权限。浏览器中出现盾牌图标。双击启动程序时，将出现UAC提示框。

2.你在标准账户上运行这个程序时，这个账户的最高权限是标准账户。限制访问令牌是当前帐户中最高的令牌，因此hig