首页
论坛
课程
招聘
雪    币: 2463
活跃值: 活跃值 (125)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝

[调试逆向] [原创]聊一聊UAC的那些事儿(win7-win10 x86/x64)

2015-12-30 19:36 29309

[调试逆向] [原创]聊一聊UAC的那些事儿(win7-win10 x86/x64)

2015-12-30 19:36
29309
[I]代码已开源(包含无需注入的方式),见https://github.com/ExpLife/ARPUninstallStringLauncherBypassUac [/I]

更进一步的分析见http://www.freebuf.com/articles/system/116611.html

HWS计划·2020安全精英夏令营来了!我们在华为松山湖欧洲小镇等你

上传的附件:
最新回复 (84)
雪    币: 796
活跃值: 活跃值 (19)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
Dstlemoner 活跃值 2015-12-30 19:49
2
0
看到计算机行业,有人40岁就死了,我赶紧把银行的钱全部取了出来租了个铺面,准备卖水果。。。
雪    币: 2463
活跃值: 活跃值 (125)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
安于此生 活跃值 34 2015-12-30 20:04
3
0
,了解了一下,IEG的加班强度太大了,常常加班到11点,非常人能扛得住...  
我基本朝9晚6
雪    币: 132
活跃值: 活跃值 (11)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
fatecaster 活跃值 1 2015-12-30 20:34
4
0
学习一下,上班以来就没时间和耐心专心研究技术了,最近想重新研究一下。看样子楼主是在做漏洞方面的工作吗。
雪    币: 2655
活跃值: 活跃值 (44)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
b23526 活跃值 2015-12-30 21:40
5
0
同朝九晚六的路过
雪    币: 5716
活跃值: 活跃值 (71)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
suiyingjie 活跃值 2015-12-30 21:48
6
0
朝9晚6比较幸福.
雪    币: 35
活跃值: 活跃值 (19)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
huluxia 活跃值 2015-12-30 21:58
7
0
学习了,看到大神发帖过来顶
雪    币: 11
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
IThacker 活跃值 2015-12-30 22:19
8
0
加油.安于此生,2016 You will be better !
雪    币: 7
活跃值: 活跃值 (12)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
hkxiaoyu 活跃值 2015-12-30 22:22
9
0
mark
雪    币: 60
活跃值: 活跃值 (32)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
qweasdasde 活跃值 1 2015-12-30 22:23
10
0
谢谢,大牛无私奉献
雪    币: 2463
活跃值: 活跃值 (125)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
安于此生 活跃值 34 2015-12-30 22:31
11
0
也不算,只是有想法转漏洞方面
雪    币: 101
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
谷月轩 活跃值 1 2015-12-30 22:43
12
0
支持安于此生大大,最近考试,考完试我也来发几个帖子虽然没什么营养就是了。
雪    币: 238
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
封心锁爱 活跃值 2015-12-30 23:31
13
0
感谢安于此生大侠分享
雪    币: 325
活跃值: 活跃值 (24)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
地狱怪客 活跃值 2 2015-12-30 23:34
14
0
感谢安于此生大妹子分享

擦 原来Helen就是你!!!!!
雪    币: 325
活跃值: 活跃值 (24)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
地狱怪客 活跃值 2 2015-12-30 23:41
15
0
这是我说给你的吧?
雪    币: 2463
活跃值: 活跃值 (125)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
安于此生 活跃值 34 2015-12-30 23:47
16
0
[QUOTE=地狱怪客;1409323]感谢安于此生大妹子分享

擦 原来Helen就是你!!!!![/QUOTE]

小妹不要调皮
雪    币: 78
活跃值: 活跃值 (11)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
zhangAngle 活跃值 2015-12-31 08:57
17
0
作为新人必须顶
雪    币: 207
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
dahubaobao 活跃值 2015-12-31 09:18
18
0
给大牛点赞,总算是吧MJ挖的坑填上了。。。
雪    币: 699
活跃值: 活跃值 (10)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
ghostway 活跃值 1 2015-12-31 09:37
19
0
细读了下,写的不错。
雪    币: 92
活跃值: 活跃值 (12)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
FadeTrack 活跃值 1 2015-12-31 10:10
20
0
昨天居然没看到,,感谢安于此生分享 ,这应该是今年的最后一份礼物了
雪    币: 1131
活跃值: 活跃值 (94)
能力值: ( LV12,RANK:380 )
在线值:
发帖
回帖
粉丝
Tennn 活跃值 5 2015-12-31 10:11
21
0
前来支持
雪    币: 281
活跃值: 活跃值 (15)
能力值: ( LV4,RANK:55 )
在线值:
发帖
回帖
粉丝
evilor 活跃值 2015-12-31 10:20
22
0
必须支持了!!!!!!!!!!
雪    币: 150
活跃值: 活跃值 (18)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Anuonuo 活跃值 2015-12-31 10:25
23
0
写得很不错,加油
雪    币: 49
活跃值: 活跃值 (21)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
smurf 活跃值 2015-12-31 13:56
24
0
最后一天,前来支持!

原来你就是Helen!!!!
雪    币: 253
活跃值: 活跃值 (28)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
appview 活跃值 2015-12-31 17:30
25
0
默默顶起!
雪    币: 168
活跃值: 活跃值 (54)
能力值: ( LV12,RANK:530 )
在线值:
发帖
回帖
粉丝
Netfairy 活跃值 11 2015-12-31 19:34
26
0
支持支持安于此生大神的分享
雪    币: 445
活跃值: 活跃值 (26)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
ID蝴蝶 活跃值 1 2015-12-31 19:47
27
0
mark
雪    币: 279
活跃值: 活跃值 (11)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
gmhzxy 活跃值 2015-12-31 20:08
28
0
前排我还是前排吗
雪    币: 11
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
IThacker 活跃值 2015-12-31 22:32
29
0
别逗..
雪    币: 26
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
litintin 活跃值 2015-12-31 23:14
30
0
我看到了娱乐圈
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
clinton81 活跃值 2016-1-1 10:32
31
0
可惜最高权限绕不过。
雪    币: 2463
活跃值: 活跃值 (125)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
安于此生 活跃值 34 2016-1-1 10:43
32
0
,最高权限  你觉得非专业人员分得清吗,  都会提示...   就是有没有签名而已...  迷惑性还是挺大的
前段时间帮一个妹子弄机器,QQ的UAC框,妹子还问  是不是中毒了呢!!!
雪    币: 246
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
shawge 活跃值 2016-1-2 11:04
33
0
安于此生好文不断啊!
雪    币: 1034
活跃值: 活跃值 (12)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
mfkfpb 活跃值 2016-1-2 14:32
34
0
好文一定要多多支持!!!
雪    币: 3218
活跃值: 活跃值 (65)
能力值: ( LV9,RANK:175 )
在线值:
发帖
回帖
粉丝
蚯蚓降龙 活跃值 2016-1-2 20:01
35
0
围观大牛分享
雪    币: 155
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
kman 活跃值 2016-1-2 23:35
36
0
有意思,两年前的一个回复楼主还真的认真去实践了,值得表扬。

不过还是pgboy把天机泄露了,该打:)
雪    币: 218
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wanjumuma 活跃值 2016-1-3 01:28
37
0
UAC白名单的方法我知道UACME有一个汇总。
https://github.com/hfiref0x/UACME
pfmboy这个大神
http://www.pfmboy.com
也有一些方法。

至于Uninstall什么的貌似是偶最早公开说的(不吹牛了,免得360的大神暴我银行卡密码)。只不过我是用360去实现过主防,因为这样在360的机子上还可以过最高权限。而且那时候也不熟悉什么MS系统借口,没想到用MS系统接口就可以过主防。。。
http://bbs.kafan.cn/thread-1621913-1-1.html

说到过最高权限UAC的方法,一般用第三方自启软件比如360卫士什么的还是可以玩出几种花样的,用MS系统的方法我就不知道了。
雪    币: 2463
活跃值: 活跃值 (125)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
安于此生 活跃值 34 2016-1-3 15:53
38
0
谢MJ提示
雪    币: 2463
活跃值: 活跃值 (125)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
安于此生 活跃值 34 2016-1-3 15:55
39
0
UACME这个有看过...

我不怎么关注卡饭,看了下你这个帖子,2013年8月 要真算起来,卸载这个点还真算是你最先提出来的...  感谢...
雪    币: 5109
活跃值: 活跃值 (26)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Protected 活跃值 2016-1-3 23:43
40
0
非常感谢
雪    币: 373
活跃值: 活跃值 (29)
能力值: ( LV2,RANK:140 )
在线值:
发帖
回帖
粉丝
ProgmBoy 活跃值 3 2016-1-4 12:05
41
0
我错了。。
雪    币: 373
活跃值: 活跃值 (29)
能力值: ( LV2,RANK:140 )
在线值:
发帖
回帖
粉丝
ProgmBoy 活跃值 3 2016-1-4 12:07
42
0
早在你那贴之前就知道了。
雪    币: 373
活跃值: 活跃值 (29)
能力值: ( LV2,RANK:140 )
在线值:
发帖
回帖
粉丝
ProgmBoy 活跃值 3 2016-1-4 12:14
43
0
太早了。都忘了,。看了下以前写的那个poc是有小盾牌的。。。.还有这个要注入真的很不爽。
雪    币: 218
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wanjumuma 活跃值 2016-1-4 20:48
44
0
哦哦哦。你们360的大牛就喜欢这么说话。
雪    币: 23
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
奓奓 活跃值 2016-1-4 22:28
45
0
赶紧来个不要注入的。。伸手党等急了。。
雪    币: 373
活跃值: 活跃值 (29)
能力值: ( LV2,RANK:140 )
在线值:
发帖
回帖
粉丝
ProgmBoy 活跃值 3 2016-1-5 10:55
46
0
我和楼主的实现差不多还是要注入explorer的。
雪    币: 5731
活跃值: 活跃值 (61)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
LOCKLOSE 活跃值 2 2016-1-5 11:03
47
0
目前朝九+晚五-的路过。
雪    币: 25
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
squallqz 活跃值 2016-1-5 15:44
48
0
安于此生太牛了,当初跟踪到需要msi的api需要CLID,就放弃了。转到用模拟点击的方式bypass了UAC。看了全文,豁然开朗,有毅力,赞!
雪    币: 23
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
奓奓 活跃值 2016-1-5 16:45
49
0
用Com evelation的都需要注入吧??不要注入的指的是以前的wusa.exe类似的手法?
雪    币: 0
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
anexx 活跃值 2016-1-5 18:03
50
0
绕过UAC的方式,公开的就已经有十几种了,至于源码,稍微搜索一下就出来了
游客
登录 | 注册 方可回帖
返回