UAC是否突破hips

hekygogo

宿舍快熄灯了，写个大意，有人说hips与uac的问题:http://bbs.kafan.cn/thread-675332-1-1.html    这个问题我早已发现，只不过偷懒没在意，现在细想，蛮有意思一件事。
具体看图片分析:

首先是说明一下该贴中的疑问，其实win7中开uac，程序运作技能和不开是有很大区别的，首先先确定，win7中的文件创建并不完全由explorer.exe控制的，其中真正创建文件的是dllhost.exe程序，这个用processexplorer和comodo分析就知道了，下面是过程～～

创建文件，出现dllhost，用comodo做拦截也可以发现：



通过在注册表中追踪，可发现此slic dllhost的作用：



由此确定dllhost的创建文件权利（comodo设置后，UAC提权时也是此slic值，所以更加确定创建主程序是此dllhost）

再看dllhost的权限，正常情况下，dllhost未触发高级特权，使用comodo限制后触发，提升到高级权限：






所以，hips和uac在程序间通讯控制时应该有交集～～嚓，要熄灯了，先这里～

107

LZ细心啊，我2个都开了，期待LZ的结果

RoDerMeN

交集是必然的  无论怎么交集  逻辑上都是NO > YES

————————

　　【UAC需要授权的动作包括：
　　* 配置Windows Update
　　* 增加或删除用户帐户
　　* 改变用户的帐户类型
　　* 改变UAC 设置
　　* 安装ActiveX
　　* 安装或卸载程序
　　* 安装设备驱动程序
　　* 设置家长控制
　　* 将文件移动或复制到Program Files或Windows目录
　　* 查看其他用户文件夹
　　基本上，只要有涉及到访问系统磁盘的根目录 (例如 C:\)，访问 Windows 目录，Windows 系统目录，Program Files 目录，访问 Windows 安全信息以及读写系统登录数据库 (Registry) 的程序访问动作，都会需要通过 UAC 的认证。 】

    但我不知道怎么理解UAC突破HIPS？？？

subool

通常, hips 要比uac的检测要多一些.

不是天才

我觉得有了HIPS就不怎么开UAC了，好像有点重复的感觉

hekygogo

占位～ 后悔草率写了，没有深思熟虑～～

hekygogo

交集是必然的  无论怎么交集  逻辑上都是NO > YES

————————

　　【UAC需要授权的动作包括：
...
RoDerMeN 发表于 2010-4-8 00:30

哦，硬着头皮继续～ UAC突破hips是个假象，我的结论不是这个，上面指出的是：XP和vista，win7在开了UAC的情况下的文件创建，修改执行过程是完全不同的，在XP下，只要限制了explorer.exe就可以阻止文件创建，explorer.exe是文件创建的进程，但在UAC下，除过限制explorer.exe还必须限制dllhost.exe，否则目标不能实现。

只不过，我感兴趣的是，通过hips限制explorer.exe，为什么会触发UAC，UAC的触发条件你也说了，反过来就是说hips到底hook了什么API，导致UAC有了提权动作，程序特权控制和hips的交集有多少。

貌似有点无意义～ 标题也有点哗众取宠～ 昨天晚上绝对#@～～ 让乃们进来失望了～囧～

木树林枫

事情可能是这样的
文件操作失败后会调用dllhost，由它完成文件操作，dllhost的文件操作需要管理员权限，所以会出现UAC提权。我用的是安全模式，dllhost被列为安全程序，所以会出现绕过文件保护的现象。（谢谢楼主）

hekygogo

事情可能是这样的
文件操作失败后会调用dllhost，由它完成文件操作，dllhost的文件操作需要管理员权限，所 ...
木树林枫 发表于 2010-4-8 15:54

    非也～～ 哪怕允许explorer.exe也会出现dllhost.exe创建文件，这个是不会变的～ 我知道你开的是安全模式，在疯狂模式下就会出现dllhost.exe的行为警告～～ 这是和XP有很大的不同～～

木树林枫

学习了
这样安全模式不应该把 dllhost加入白名单啊