In che modo consent.exe sa cosa visualizzare?

Question

In che modo consent.exe sa cosa visualizzare?

#1 da (1 voti)
#2 da (1 voti)

12

consent.exe è responsabile della visualizzazione della finestra di dialogo UAC. Osservando i parametri della riga di comando con Process Explorer, vedo quanto segue:

consent.exe 1316 748 000000004385BD60

Ho

leggi In che modo Windows "Secure La modalità "Desktop funziona? qui su SE
ha provato a convertire i numeri in e da hex per vedere se corrisponde a qualcosa
leggi l'articolo Technet "All'interno del controllo dell'account utente di Windows Vista" di Mark Russinovich
eseguito consent.exe /? (nel caso in cui non mi aspettassi nulla)
controllato se uno dei numeri si verifica nell'output di !process 0 0 utilizzando LiveKD . Se quel comando elenca veramente tutti gli oggetti di processo, il processo da creare (nome eseguibile visualizzato dalla finestra di dialogo UAC) non esiste ancora.
Esaminando Gestore Explorer "Gestisci" riquadro inferiore
Ricerca dei valori in una sessione registrata da Monitor processo
Non è stato possibile acquisire consenso.exe in monitor API Rohitab

Finora, ho solo calcolato il primo numero: è l'ID del processo (PID) del processo principale, che nel mio caso è svchost.exe .

In che modo consent.exe rileva da tali informazioni sulla riga di comando qual è il percorso dell'eseguibile da avviare?

windows-permissions uac

posta Thomas Weller 12.04.2015 - 21:49

fonte

2 risposte

Leggi altre domande sui tag windows-permissions uac

In che modo è sicuro che Venmo chieda le credenziali? Sta usando il Touch ID con la crittografia completa del disco di FileVault?

score 1 · Answer 1

Basato sull'articolo di Russinovich TechNet che hai collegato: Ricorda che le applicazioni chiamano l'Application Information Service (AIS) per elevare. Quindi consenso.exe non ha bisogno di sapere come avviare i programmi. Esiste unicamente per stabilire il consenso dell'utente e restituire il risultato a AIS. AIS quindi esegue l'effettivo avvio (supponendo che consent.exe restituisca il successo).

score 1 · Answer 2

Come puoi vedere, il primo argomento è il PID del processo genitore di consent.exe. E monitorando le API che questo processo genitore (che è un "svchost") chiamato prima di creare il processo di consenso, sono stato in grado di scoprire che il terzo argomento è un puntatore a una struttura all'interno dell'heap di svchost, e il secondo argomento è la lunghezza della struttura. La struttura sembra contenere il percorso del processo da eseguire, la sua directory di lavoro e i suoi argomenti. Inoltre ci sono alcuni byte che non riesco a capire. Ma l'informazione è certamente sufficiente per estirpare il percorso completo dell'exe.

Questa risposta è testata solo su Windows 10 x64 1809