深入UAC：Vista运行程序跳出红黄绿灰四色提示框及破解

Vista之家（www.vista123.com）：深入UAC：Vista运行程序跳出红黄绿灰四色提示框及破解

初级用户不喜欢Vista系统，因为他们在运行程序的时候，总是会跳出一个对话框，提示你取消还是继续什么的，很是惹人烦。烦是烦，但这确实是个不错的安全机制，Vista系统下一步应该建立更易用和智能的白名单和黑名单，这样，才会有更多的高级用户不会关闭它。

这个提示框，有四种颜色，就是UAC系统（用户帐户控制系统：User Account Control），Windows Vista 里面重要构成部分。对 Windows 安全保护起着绝对重要用途。 之前，Vista之家做过很多的介绍：

1、Vista系统中UAC（用户帐户控制）存在的真正意义
2、【Vista之家原创】闪速开启/关闭Vista系统的UAC
3、史上最快的关闭Windows Vista UAC保护的方法
4、【Vista之家原创】用户帐号控制(UAC)关闭开启方法大全

大家可以点击这个查看更多UAC技术文档：http://www.vista123.com/vista/browse/k-756163_.html

但是，UAC 不等于绝对安全，当你碰到UAC提示框的时候，请千万小心后面的陷阱：

一、红色

众所周知，UAC提示框触发的时候，Windows 会检测新创建进程映象文件的数字签名：

如果新创建的进程的数字签名被阻止了，那么会显示一个红色的提示框：

2、橘黄色

如果新创建的进程没有合法的数字签名，那么会显示一个橘黄色的提示框。

3、灰色

如果新创建的进程拥有一个受信任的第三方数字签名，那么会显示一个灰色提示框。

4、绿色

如果新创建的进程拥有一个受信任的Microsoft数字签名，那么会显示一个绿色的提示框。

随着今后Windows Vista用户量的增多和培训的努力，大多数用户对于UAC的提示框都产生了一种条件反射：对于灰色或者绿色的UAC提示框完全信任，直接点击Continue按钮了。

这种做法产生了一种严重的安全问题点：UAC检查的是新创建的进程的映象文件。如果这个新创建的进程通过了UAC检查，那么他将获得完全的管理员权限，也就是说这个新创建的、通过UAC检查以后的进程，再创建其他的子进程，将不会触发UAC提示。

换句话说，如果利用某种手段，就可以让一个危险程序隐蔽的运行起来，而用户看到的UAC提示框不是直接针对这个危险程序的。

操作步骤：

技术上，利用ShellExecute可以创建一个显式需要完整管理员权限的进程。 首先创建一个Demo程序，显示的将命令行解析器 cmd.exe 创建为拥有完整管理员权限的进程。 当一个进程拥有了完全管理员权限以后，它创建的子进程即使会触发UAC动作，也不会看到了。利用这个特性，这个Demo程序成功的将显示需要完整管理员权限且一定会触发UAC提示的 SREng 主程序创建起来了，且看到的UAC提示不是 SREng 的。
代码片段：

TCHAR szPath[] = _T("c:\\windows\\system32\\cmd.exe");
TCHAR szParam[] = _T("/c start d:\\Smallfrogs\\Codes\\SREng\\Product\\SREngPS.EXE");

ShellExecute(NULL, _T("runas"), szPath, szParam, NULL, SW_SHOW);

编译上述代码，运行以后会看到一个很有意思的现象：我们希望运行SREng，但是不想看到SREng 的UAC，因此我们用 cmd.exe 的UAC代替了SREng的UAC提示（如下图所示）：

大多数用户看到上述的UAC提示框的时候，都会点击Continue按钮，因为UAC提示框是绿色的，很少有用户会点击 Details 按钮，因为这个按钮很不显眼。但是当我们点击Details按钮以后，我们会看到别有一番天地：

Details里显示：程序利用 cmd.exe 的 /c 参数创建SREng进程，而 cmd.exe 又被显示的被赋予完整管理员权限，因此 cmd.exe 创建的 SREng 进程也继承了 cmd.exe 的管理员权限，且不会出现 UAC 询问对话框。

利用上述方法，UAC 提示框被成功替换了。

解决方法

既然我们今天公布了这个方法，那自然会公布相应的解决方法：碰到UAC提示的时候，切记一定要点击 Details 按钮（详情），看看命令行参数。如上图那样，如果看到 cmd.exe 后面跟了一些不属于预期内容的参数，请不要点击 Continue 按钮，否则UAC这层脆弱的防护措施就失效了。

强烈建议每次看到UAC提示框，无论什么情况，都点击Details按钮看看，以免恶意程序神不知鬼不觉的被运行了。

Vista之家（www.vista123.com），爱上网，爱上Vista123.com