MFC管理员权限(UAC下的程序权限提升)

MFC管理员权限(UAC下的程序权限提升)

文章来源:KingsamChen的博客 感谢KingsamChen博主对《UAC提升权限》(也就是MFC等程序获取管理员权限)的总结!很优秀,谢谢!

UAC是微软为了提高Windows的安全性,自Windows Vista开始引入的新安全机制。

传统的NT内核系统依靠access token来做权限处理,access token由当前用户所在的用户组的权限决定。而由于长期以来的不当使用习惯问题,几乎所有Windows上用户所在的组都是管理员。

在启用UAC之后,系统会额外引入一个filtered token,并且这个token默认只能按照Standard User的权限去执行。所以这个token也通常被叫做limited filtered token。

PS:关于上面的简单介绍,请参考这里

因为执行权限有限,某些操作必然会要求更高的管理员权限。此时,通常就需要一个privilegs elevation的操作。程序可以向系统请求提权,系统会将此请求通过提一个提示框,请用户确认。

这里多说一点,如果当前用户的用户组权限不是管理员,提权操作是要求输入管理员密码的,这点和在Linux中的相应操作类似。不过我想大部分人的用户组都是管理员,所以这句话当我没说好了…

另外需要注意的一点是,这个elevation是受到一个process-boundary的限制的,具体体现在两方面:

  1. 程序只能在运行前要求提权。如果已经在运行了,那么将失去申请提权的能力
  2. 权限提升仅对此次进程有效

不过,一个具有full administrator token的进程利用CreateProcess创建的进程默认都继承了full administrator token。

提升权限的操作大致有两个:

  1. 自动提权请求
  2. 手动提权请求

自动提权请求

如果你的程序始终要求以full administrator token的模式运行,那么应该考虑在程序启动时自动向系统请求提权。

需要做的事情很简单,只需要更改程序的manifest文件。这个文件本质上是一个XML文件,默认情况下,它的内容因该是:
[code]<?xml version=”1.0″ encoding=”UTF-8″ standalone=”yes”?>
<assembly xmlns=”urn:schemas-microsoft-com:asm.v1″ manifestVersion=”1.0″>
<trustInfo xmlns=”urn:schemas-microsoft-com:asm.v3″>
<security>
<requestedPrivileges>
<requestedExecutionLevel level=”asInvoker” uiAccess=”false”></requestedExecutionLevel>
</requestedPrivileges>
</security>
</trustInfo>
</assembly>[/code]

只要将requestExecutionLevel的level的值改成requiredAdministrator,再重新将这个文件链接入EXE即可。

另外,如果使用Visual Studio作为开发环境,直接在项目的属性里可以更改UAC的权限要求设置

UAC下的程序权限提升
UAC下的程序权限提升

手动提权请求

如果进程在运行途中需要full administrator token怎么办?

答案是,没办法。具体原因前面说了。

不过,一个具有limited filtered token的进程是可以运行一个程序,并且让这个程序去请求系统提权。而且,我们可以让这个进程去再一次运行自己的EXE文件,并且请求提权。

这里需要的API是ShellExecuteEx而不是根正苗红的CreateProcess。因为后者没有和UAC相关的属性设置

ShellExecuteEx需要一个SHELLEXECUTEINFO结构,这个结构如下:
[cpp]typedef struct _SHELLEXECUTEINFO {
DWORD cbSize;
ULONG fMask;
HWND hwnd;
LPCTSTR lpVerb;
LPCTSTR lpFile;
LPCTSTR lpParameters;
LPCTSTR lpDirectory;
int nShow;
HINSTANCE hInstApp;
LPVOID lpIDList;
LPCTSTR lpClass;
HKEY hkeyClass;
DWORD dwHotKey;
union {
HANDLE hIcon;
HANDLE hMonitor;
} DUMMYUNIONNAME;
HANDLE hProcess;
} SHELLEXECUTEINFO, *LPSHELLEXECUTEINFO;[/cpp]

这里我们需要关心大概只有三个成员:lpVerb,lpFile和nShow

lpVerb必须被设置为runas;而lpFile是要运行可执行文件的完整路径;nShow控制窗口的显示。

需要关注nShow是因为大部分初始化操作都将这个属性默认初始化为0,很不巧的是,0对应的属性是SW_HIDE。除非你不需要窗体,否则还是需要手动调教下这个成员。

通常来说,如果某个程序运行途中可以通过触发,转而使用full administrator token运行,那么八成是利用这个API重新运行EXE文件,再将原有的程序退出或者隐藏。

至于剩下的那两成,表示不明白,不过我想可以请教传说中的花大婶。

Demo

自己手写了一个Demo,程序默认以limited filtered token运行。单击提权按钮,向系统请求提权。

默认时是这样:

MFC管理员运行
MFC管理员运行

提升权限后是这样:

MFC管理员运行
MFC管理员运行

核心代码是两块:

  1. 判断当前进程是否已经提权. 这个通过判断当前进程的token信息获得
  2. 提权运行. 如前所述,利用ShellExecuteEx

具体代码可以看这里