MFC管理员权限(UAC下的程序权限提升)
文章来源:KingsamChen的博客 感谢KingsamChen博主对《UAC提升权限》(也就是MFC等程序获取管理员权限)的总结!很优秀,谢谢!
UAC是微软为了提高Windows的安全性,自Windows Vista开始引入的新安全机制。
传统的NT内核系统依靠access token来做权限处理,access token由当前用户所在的用户组的权限决定。而由于长期以来的不当使用习惯问题,几乎所有Windows上用户所在的组都是管理员。
在启用UAC之后,系统会额外引入一个filtered token,并且这个token默认只能按照Standard User的权限去执行。所以这个token也通常被叫做limited filtered token。
PS:关于上面的简单介绍,请参考这里
因为执行权限有限,某些操作必然会要求更高的管理员权限。此时,通常就需要一个privilegs elevation的操作。程序可以向系统请求提权,系统会将此请求通过提一个提示框,请用户确认。
这里多说一点,如果当前用户的用户组权限不是管理员,提权操作是要求输入管理员密码的,这点和在Linux中的相应操作类似。不过我想大部分人的用户组都是管理员,所以这句话当我没说好了…
另外需要注意的一点是,这个elevation是受到一个process-boundary的限制的,具体体现在两方面:
- 程序只能在运行前要求提权。如果已经在运行了,那么将失去申请提权的能力
- 权限提升仅对此次进程有效
不过,一个具有full administrator token的进程利用CreateProcess创建的进程默认都继承了full administrator token。
提升权限的操作大致有两个:
- 自动提权请求
- 手动提权请求
自动提权请求
如果你的程序始终要求以full administrator token的模式运行,那么应该考虑在程序启动时自动向系统请求提权。
需要做的事情很简单,只需要更改程序的manifest文件。这个文件本质上是一个XML文件,默认情况下,它的内容因该是:
[code]<?xml version=”1.0″ encoding=”UTF-8″ standalone=”yes”?>
<assembly xmlns=”urn:schemas-microsoft-com:asm.v1″ manifestVersion=”1.0″>
<trustInfo xmlns=”urn:schemas-microsoft-com:asm.v3″>
<security>
<requestedPrivileges>
<requestedExecutionLevel level=”asInvoker” uiAccess=”false”></requestedExecutionLevel>
</requestedPrivileges>
</security>
</trustInfo>
</assembly>[/code]
只要将requestExecutionLevel的level的值改成requiredAdministrator,再重新将这个文件链接入EXE即可。
另外,如果使用Visual Studio作为开发环境,直接在项目的属性里可以更改UAC的权限要求设置
手动提权请求
如果进程在运行途中需要full administrator token怎么办?
答案是,没办法。具体原因前面说了。
不过,一个具有limited filtered token的进程是可以运行一个程序,并且让这个程序去请求系统提权。而且,我们可以让这个进程去再一次运行自己的EXE文件,并且请求提权。
这里需要的API是ShellExecuteEx而不是根正苗红的CreateProcess。因为后者没有和UAC相关的属性设置
ShellExecuteEx需要一个SHELLEXECUTEINFO结构,这个结构如下:
[cpp]typedef struct _SHELLEXECUTEINFO {
DWORD cbSize;
ULONG fMask;
HWND hwnd;
LPCTSTR lpVerb;
LPCTSTR lpFile;
LPCTSTR lpParameters;
LPCTSTR lpDirectory;
int nShow;
HINSTANCE hInstApp;
LPVOID lpIDList;
LPCTSTR lpClass;
HKEY hkeyClass;
DWORD dwHotKey;
union {
HANDLE hIcon;
HANDLE hMonitor;
} DUMMYUNIONNAME;
HANDLE hProcess;
} SHELLEXECUTEINFO, *LPSHELLEXECUTEINFO;[/cpp]
这里我们需要关心大概只有三个成员:lpVerb,lpFile和nShow
lpVerb必须被设置为runas;而lpFile是要运行可执行文件的完整路径;nShow控制窗口的显示。
需要关注nShow是因为大部分初始化操作都将这个属性默认初始化为0,很不巧的是,0对应的属性是SW_HIDE。除非你不需要窗体,否则还是需要手动调教下这个成员。
通常来说,如果某个程序运行途中可以通过触发,转而使用full administrator token运行,那么八成是利用这个API重新运行EXE文件,再将原有的程序退出或者隐藏。
至于剩下的那两成,表示不明白,不过我想可以请教传说中的花大婶。
Demo
自己手写了一个Demo,程序默认以limited filtered token运行。单击提权按钮,向系统请求提权。
默认时是这样:
提升权限后是这样:
核心代码是两块:
- 判断当前进程是否已经提权. 这个通过判断当前进程的token信息获得
- 提权运行. 如前所述,利用ShellExecuteEx
具体代码可以看这里。