Windows 10+系统权限配置工具

显示全部楼层 · 发表于 2025-12-8 17:34:34

本帖最后由图钉鱼于 2025-12-18 17:14 编辑

一句话：这个工具是来解决Windows 10/11 出现"某些设置由你的组织管理"这个问题。夺回用户自己的权限掌控权。

Windows 10/11 出现"某些设置由你的组织管理"通常是因为注册表中的策略键值被修改，或者本地组策略被某些优化软件、杀毒软件或脚本篡改了。这会导致用户无法更改定位、麦克风、Windows更新或遥测数据的设置。
When Windows 10/11 shows "Some settings are managed by your organization", it's usually because policy key values in the registry have been modified, or local group policies have been tampered with by optimization software, antivirus software, or scripts. This can prevent users from changing location, microphone, Windows update, or telemetry data settings.

需以管理员身份运行，工具覆盖了几乎所有导致"组织管理"的根源，包括：

1. 激活所有潜在特权：程序启动时会尝试激活当前令牌的所有潜在特权，以确保能够处理被ACL（访问控制列表）锁定的顽固资源。
2. 清理以下策略项：
- 控制面板和设置访问限制
- 任务管理器和系统监控工具限制
- Windows Update 核心策略
- 遥测与数据收集限制
- Windows Defender 禁用策略
- 应用隐私权限(麦克风/位置等)
- 定位与传感器限制（特别增强）
- 锁屏和登录设置限制
- 浏览器和Internet设置限制（已扩展覆盖 HKCU 和 WOW6432Node）
- 证书和加密策略限制（新增清理）
- 安装残留脚本清理 (SetupComplete.cmd/SetupRollback.cmd)
- 防火墙和安全设置限制
- Windows资源管理器设置限制
- 网络和共享设置限制
- 用户账户和权限设置限制
- Windows Store和应用商店限制
- Cortana 与搜索限制
- 开始菜单和个性化限制
- Edge 浏览器托管策略
3. 清理 WMI 持久化事件：删除恶意软件常用的 WMI “CommandLineEventConsumer”、“ActiveScriptEventConsumer”和“__FilterToConsumerBinding“ 等持久化机制。
4. 自动启用位置相关服务（lfsvc和GeolocationService）
5. 刷新组策略使其立即生效

Windows 10/11中位置服务有多个层级的策略限制，常规清理可能无法完全恢复权限。本工具特别增强了位置权限的清理功能：

1. 全局位置传感器开关：清理HKLM和HKCU下的LocationAndSensors策略
2. 应用访问位置权限：修复AppPrivacy下的LetAppsAccessLocation等键值
3. 位置设置页面限制：解除DisableLocationPage等页面锁定
4. 位置服务自动启用：自动启动lfsvc和GeolocationService服务
5. 浏览器位置策略：清理Edge和Chrome的位置访问限制

核心功能：
1.  EnableAllPrivileges (启用所有特权)：
   描述：程序启动时，会自动枚举并启用当前进程令牌中的所有潜在特权（例如 SeTakeOwnershipPrivilege, SeRestorePrivilege等）。这确保了即使在 TrustedInstaller 权限下，也能有效处理那些被恶意软件或系统策略通过 ACL (访问控制列表) 严格锁定的注册表项或文件，避免“权限不足”导致的清理失败。
   影响：显著提升了工具在极端顽固策略和恶意软件残留清理场景下的成功率。

2.  GetPidByName (进程 PID 获取大小写无关匹配)：
描述：改进了通过进程名获取 PID 的逻辑。
影响：避免了因进程名大小写差异，导致无法正确匹配父进程 PID 的问题，提升了 PPID Spoofing（父进程id欺骗）的成功率。

该工具行为类似恶意软件，权限较高，极其容易被误报，已经进行免杀处理

1. 演进路线图

V1-V3：探索期（失败与认知）
位移加密（Shift ±1）：最早期加密方式，明文可被静态/模拟执行快速还原，效果有限。
栈字符串混淆：在栈上拼字串避开 .rdata，但产生大片 MOV 指令，形成“Shellcode 风格”信号，适得其反。
噪音注入：插入垃圾字节与线性变换，CFG 分析可忽略死代码，噪音带来体积负担且收效甚微。

V4：成形期（初级多态）
引入块级多态加密（ROL/Seed/Shift），显著提高通用脱壳机成本，但静态导入表特征未解决。

V5：突破期（代码级+结构级）
多态字符串加密与编译期展开：以模板化 lambda 和 std::index_sequence 驱动分块解密，降低循环与常量表模式。
动态 API 解析与名称加密：构建 API 包装，移除显式导入表，所有敏感 API 名称经 _OBF_API 二层编码。
文件结构合规化：注入 VersionInfo 与 Manifest，补齐 .rsrc 段，外观贴近正规发布软件。

V6: 深化期
DLL 加载路径硬化：优先 GetModuleHandleW，缺失时仅从 System32 搜索并一次性限定进程 DLL 路径。
明文短生命周期与零化：解密缓冲与局部副本在使用后立即清零，缩短半动态与内存取证窗口。
控制流保护与安全链接：统一启用 /guard:cf、/NXCOMPAT、/DYNAMICBASE、/RELEASE，提升 CFG 与内存安全外观。

特征切断：静态导入表和敏感明文是高权重特征，分别以“动态解析”和“多态加密+短生命周期”切断。
外观塑形：畸形 PE 文件更易被 AI 标记；资源与 Manifest 比纯混淆更有效。
安全信号：/guard:cf 与 DEP/ASLR 标志，减少“恶意加载器”AI机学的命中率。
路径限定：从任意路径加载 DLL 的行为风险高，限定 System32 能显著降噪。
_OBF 与 _OBF_API：分层编码与编译期展开，API/DLL 名称二层位移编码。
API 动态解析：集中封装 GetMod/GetFunc，本地副本零化。
资源与清单：补齐版本与兼容声明。
DLL 加载硬化：限定搜索路径为 System32，优先复用已加载模块。
C++20 ：模板化 lambda 与 std::index_sequence 支持构建编译期展开的分块解密，避免稳定循环体和固定模式，降低静态与半动态分析的特征。
缓冲区零化：SecureZeroMemory 与 std::fill 清除短暂明文。

代码混淆后，启发式指纹变更（RDML 变化），但名称仍命中；结构合规后显著降噪。
针对 Deep Instinct：通过路径限定与控制流保护，解除 MALICIOUS 判定。
当前状态：双路径构建产物（MSVC/Clang）均实现“无任何报毒提示”，达到VT首发全零洁白。

更新v1.1：

修复：
1.系统更新日期规则无效，超过系统极限（35天）的配置被系统视为无效操作，因此最长日期限制在35天。
2.提前针对AI模型的 RDML 指纹，使用volatile 算术循环与“不可能分支”，打破内联展开形成的单一汇编模式。引入 volatile 噪点可破坏这种连续性，强制编译器生成非线性的、含有“垃圾逻辑”的汇编代码，打破内联展开后单一的“Shellcode-like”特征，使 AI 的控制流图算法失效，使特征失效。提高检测成本。

更新v1.2：
修复：
1.文字描述错误；
2.收到反馈，非VT平台的XX引擎有特殊规则报毒，现免杀xx机器学习：Trojan.Kryptik@AI.87 (RDML:tbVaCv*************)，已定位并剔除特征模糊噪点处理；

更新v1.3：
修复：
1.判断逻辑优化,关键系统服务检查；
2.去掉油腻免杀导致的维护性爆炸问题，使用乱序字符串排序，堆上字符串等清爽解决静态/动态/沙箱误报问题；
3.对win11更新添加实验性硬暂停功能（0-9999天），测试通过但不保证长期支持，可能一个微软补丁就废了；
4.对部分项目加入二次复检，确保有效处理；
5.对原win更新功能添加详细描述，避免误解。（微软官方延迟更新（0-35 天）是按微软官方规则，从补丁发布日起往后顺延0-35天，如果补丁发布超35天则直接下载安装了。不会阻止当前已经在下载的补丁，也不会显示“更新已暂停”）
屏幕截图 2025-12-18 140733.png