关闭wuauclt.exe_wuaucltexe_wuauclt.exe

在企业环境中保护机器免受恶意威胁一直是一个持续的过程。如果给用户提供了管理员权限，就会被滥用于安装未经许可的软件，更改配置，等等。如果不给用户提供本地管理员权限，他们就会声称他们不能正常开展工作了。如果恶意软件碰巧感染了拥有完全管理员权限的机器，那么你最有可能眼睁睁的看着计算机被恶意软件重新映像。

用户帐户控制 (UAC) 给了我们使用标准的用户权限代替完全的管理员权限来运行程序的能力。所以即使您的标准用户帐户位于本地管理员组中，那么受到的破坏也是有限的，如安装服务，驱动程序以及对安全位置执行写入操作，等等，这些行为都是被拒绝的。要进行这些操作，用户需要与桌面进行交互，如右键单击并以管理员身份运行或者是接受 UAC 提升的提示。Microsoft从 Windows Vista 起就引入了 UAC，它包含了大量的技术，其中包括文件系统和注册表虚拟化、保护管理员 (PA) 帐户、UAC 提升提示和 Windows 完整性级别。

UAC 的工作原理是调整我们当前的用户帐户的权限级别，所以即使我们拥有计算机上的本地管理员权限，程序的操作还是作为标准用户进行的。当程序执行的操作需要管理员级别的权限时， UAC 就会通知我们。如果我们已经拥有了本地管理员权限，那么我们可以单击“是”继续，否则系统将会提示您输入管理员密码。当然这些将取决于您的环境中定义了何种策略。

本文讲述了如何轻松地绕过 UAC 提升提示并且可以采取哪些措施来减轻这种威胁。

绕过 UAC

绕过 UAC 是一个简单的过程。可以采取两个步骤实现从标准的用户权限到管理员用户权限的提升。这些步骤的方法已被广泛的公布，所以这并不是什么新奇的技术，不过在第二个步骤中会出现一些更多的 DLL 劫持漏洞。

·写入到安全位置
·利用 DLL 劫持漏洞

为了能成功的绕过 UAC，在开始前我们需要一些事情：

1.一个完整性级别为中等的进程
2.一个管理员组中的标准用户
3.必须由微软代码签名证书签名过的Windows 可执行文件
4.必须位于一个安全目录的Windows 可执行文件
5.Windows 可执行文件也必须在他们自身的程序清单中指定自动提升属性

写入到安全位置

我们可以使用这几种方法写入到安全位置。

·使用 IFileOperation COM 对象

·使用 Windows 更新独立安装程序 (wusa.exe)

IFileOperation COM 对象

IFileOperation COM 对象有一个方法可以用来将文件复制到安全位置，该操作将会自动进行提升并能够执行特权的拷贝。我们可以在完整性级别为中等的进程中注入我们的恶意 DLL来执行此操作以便能够绕过 UAC。由于 COM 对象设置了自动提升，所以被注入的进程在其程序清单中不需要标记自动提升。

在 windows 7 中可以成功复制并能够注入的进程如下：

C:\Windows\explorer.exe
C:\Windows\System32\wuauclt.exe
C:\Windows\System32\taskhost.exe

在测试过程中 taskhost.exe 在开机后只工作一次，wuauclt.exe 并不是一直可以工作， explorer.exe 是唯一可以使用的可靠进程。

在 Windows 8 中可以成功复制并能够注入的进程如下：

C:\Windows\explorer.exe
C:\Windows\System32\wuauclt.exe
C:\Windows\System32\RuntimeBroker.exe

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-27762-1.html