用360绕过UAC真是轻松啊。。。。

vm001

驭龙 发表于 2015-7-19 10:40
告诉你一个最简单绕过UAC的办法，比用360更简单，轻松破掉UAC防御体系，当然这是人为操作，并不是病毒绕过U ...

这个可能不是你说的这样，没有结束explorer之前，你打开任务管理器，那么任务管理器的父进程就是explorer，然后结束掉，重新创建一个explorer，那么这个explorer的父进程就是taskmgr（任务管理器），而taskmgr的父进程依然是之前的explorer，我怀疑你这个现象是由于UAC充其量也就是个r3的防御，估计是结束explorer以后把插入explorer的防护模块给干掉了

驭龙

vm001 发表于 2015-7-19 18:42
这个可能不是你说的这样，没有结束explorer之前，你打开任务管理器，那么任务管理器的父进程就是explorer ...

不是，完全不是的，因为UAC是驱动级的，你可以换一个思路，就是一管理员身份运行7Z文件管理器，在里面随意运行安装包，UAC都不会被触发。
另外在使用任务管理器创建Explorer任务的时候，如果不勾选管理身份的话，Explorer将无法获得High权限。

UAC不是通过应用层注入方式存在的，去了解一下LUAFV驱动和UAC的防御关系吧

vm001

驭龙 发表于 2015-7-19 18:53
不是，完全不是的，因为UAC是驱动级的，你可以换一个思路，就是一管理员身份运行7Z文件管理器，在里面随 ...

这个我真弄不懂，我也只是猜测...，因为他们的父进程都是一样的所以我才会有这个猜测，不过才注意到你说的是勾选上管理员身份运行，我基本不实用win7，不知道这里勾选上和直接右键文件以管理员程序运行有什么区别？

驭龙

vm001 发表于 2015-7-19 18:56
这个我真弄不懂，我也只是猜测...，因为他们的父进程都是一样的所以我才会有这个猜测，不过才注意到你说 ...

不好意思，我刚才的语气有一点过，抱歉。
关于UAC我刚刚给你找一文章http://www.cppblog.com/gxhzippo/archive/2012/04/24/172660.html

是这样的，由于我是UAC高档，所以启动任务管理器的时候，任务管理器本身就已经不是Explorer的常规权限了，是以High权限运行，如果不勾选管理身份的话，任务管理器创建的任务是普通权限，只有勾选管理身份的时候，任务管理器才会把High权限赐予子进程。

刚才真的是抱歉，不好意思，别介意

vm001

驭龙 发表于 2015-7-19 19:04
不好意思，我刚才的语气有一点过，抱歉。
关于UAC我刚刚给你找一文章http://www.cppblog.com/gxhzippo/a ...

哦，是这样，然后就是我问那个这个和直接右键管理员运行有什么区别

驭龙

vm001 发表于 2015-7-19 20:35
哦，是这样，然后就是我问那个这个和直接右键管理员运行有什么区别

是这样的，右键管理员身份运行，会触发UAC的弹框，而让Explorer获得High权限以后，不管运行什么程序，这个程序都是以High权限运行的，也就是说这个程序在不触发UAC的弹框情况下，就已经有UAC允许以后的权限了。

pal家族

驭龙 发表于 2015-7-19 20:45
是这样的，右键管理员身份运行，会触发UAC的弹框，而让Explorer获得High权限以后，不管运行什么程序，这 ...

貌似铁壳应用修补程序是会重启explorer。。。
不造这个重启的explorer是不是高权限啊？应该不是吧？

qpzmggg999

驭龙 发表于 2015-7-19 12:23
这个就看你个人的观点了，毕竟每个人的想法都不一样，在卡饭只要开心就好，其他什么都不需要去想，哈

这句话听的我真开心啊，果然卡饭最可爱的就是我们龙大
绕过uac的方法很多 就算是病毒也可以 在样本去的朋友们应该深有体会
百度，计划任务绕UAC代码

黔西靖士

好深奥啊，其实也没什么不好啊