一文搞懂windows UAC机制逻辑及提权原理

文章预览

原文链接：https://forum.butian.net/share/3710 0x01 前言 本文主要内容： 1、windows uac机制的流程及原理 2、windows uac逻辑代码逆向调试分析 3、windows bypassuac 构造原理以及实践 4、常见uacme里面bypass方法及检测方式 之前分析一个黑产样本里面内置了一堆Bypasss UAC提权的操作，分析完之后测试发现一些杀软这个行为检测不到，于是准备从windows uac机制底层详细分析下Bypass UAC提权的原理和产生的行为有哪些，以及如何针对这种Bypass UAC 提权行为产生的特征进行关联从而落下来一个检测思路； 0x02 UAC流程 一、判断流程 UAC的流程，微软有说明文档，用文字和图大致说了UAC的提权过程中的一些影响因素，我们可以先简单了解下： 参考： https://learn.microsoft.com/zh-cn/windows/security/application-security/application-control/user-account-control/how-it-works 运行一个可执行文件之前，调用CreatePrces ………………………………