切换到真正的最高权限 SYSTEM 账户界面

大家知道，SYSTEM是至高无上的超级管理员帐户。默认情况下，我们无法直接在登录对话框上以SYSTEM帐户的身份登录到Windows 桌面环境。实际上SYSTEM帐户早就已经“盘踞”在系统中了。想想也是，连负责用户验证的Winlogon、Lsass等进程都是以SYSTEM身份运行的，谁还能有资格检验SYSTEM呢?既然SYSTEM帐户早就已经出现在系统中，所以只需以SYSTEM帐户的身份启动Windows的Shell程序Explorer，就相当于用SYSTEM身份登录Windows了。
一、获得特权
    1、执行“开始→运行”输入cmd回车打开命令提示符窗口。
    2、在命令提示符下输入如下命令并回车：
    taskkill /f /im explorer.exe(结束当前账户的explorer)
    3、在命令提示符下继续输入如下命令并回车：
    at time /interactive %systemroot%\explorer.exe
    (time为当前系统时间稍后的一个时间，比如间隔一秒。/interactive允许作业在运行时，与当时登录的用户桌面进行交互,即允许以System运行的Explorer与现在我们所登录的账户进行交互 )
    4、一秒钟后会重新加载用户配置，以SYSTEM身份启动Windows的shell进程Explorer.exe(因为为了保证系统未登录时可以执行计划任务Task Scheduler服务默认是以system账户运行的 )

二、验明正身
    1、开始菜单，显示system账户。
    2、打开注册表编辑器，只要证明HKCU就是HKU\S-1-5-18的链接就可以了(S-1-5-18就是SYSTEM帐户的SID)。证明方法很简单：在 HKCU下随便新建一个Test子项，然后刷新，再看看HKU\S-1-5-18下是否同步出现了Test子项，如果是，就说明系统当前加载的就是SYSTEM帐户的用户配置单元!(图4)
三、大行其道
    1、注册表访问：
    说明：在非SYSTEM权限下，用户是不能访问某些注册表项的，比如“HKEY_LOCAL_MACHINE\SAM”、“HKEY_LOCAL_MACHINE\SECURITY”等。这些项记录的是系统的核心数据，但某些病毒或者木马经常光顾这里。比如在SAM项目下建立具有管理员权限的隐藏账户，在默认情况下管理员通过在命令行下敲入 “net user”或者在“本地用户和组”(lusrmgr.msc)中是无法看到的，给系统造成了很大的隐患。在“SYSTEM”权限下，注册表的访问就没有任何障碍，一切黑手都暴露无遗!
    操作：打开注册表管理器，尝试访问HKEY_LOCAL_MACHINE\SAM和HKEY_LOCAL_MACHINE\SECURITY，现在应该可以无限制访问了。
    2、访问系统还原文件：
    说明：系统还原是windows系统的一种自我保护措施，它在每个根目录下建立“System Colume Information”文件夹，保存一些系统信息以备系统恢复是使用。如果你不想使用“系统还原”，或者想删除其下的某些文件，这个文件夹具有隐藏、系统属性，非SYSTEM权限是无法删除的。如果以SYSTEM权限登录你就可以任意删除了，甚至你可以在它下面建立文件，达到保护隐私的作用。
    操作：在资源管理器中点击“工具→文件夹选项”，在弹出的“文件夹选项”窗口中切换到“查看”标签，在“高级设置”列表中撤消“隐藏受保护的操作系统(推荐)”复选框，然后将“隐藏文件和文件夹”选择“显示所有文件和文件夹”项。然后就可以无限制访问系统还原的工作目录C:\System Volume Information了。
    3、更换系统文件：
    说明：Windows系统为系统文件做了保护机制，一般情况下你是不可能更换系统文件的，因为系统中都有系统文件的备份，它存在于 c:\WINDOWS\system32\dllcache(假设你的系统装在C盘)。当你更换了系统文件后，系统自动就会从这个目录中恢复相应的系统文件。当目录中没有相应的系统文件的时候会弹出提示(图8)，让你插入安装盘。在实际应用中如果有时你需要Diy自己的系统修改一些系统文件，或者用高版本的系统文件更换低版本的系统文件，让系统功能提升。比如Window XP系统只支持一个用户远程登录，如果你要让它支持多用户的远程登录。要用Windows 2003的远程登录文件替换Window XP的相应文件。这在非SYSTEM权限下很难实现，但是在SYSTEM权限下就可以很容易实现。
    操作：从Windows 2003的系统中提取termsrv.dll文件，然后用该文件替换Windows XP的C:\WINDOWS\system32下的同名文件。(对于Windows XP SP2还必须替换C:\WINDOWS\$NtServicePackUninstall$和C:\WINDOWS\ServicePackFiles \i386目录下的同名文件)。再进行相应的系统设置即可让Windows XP支持多用户远程登录。
    4、手工杀毒：
    说明：用户在使用电脑的过程中一般都是用Administrator或者其它的管理员用户登录的，中毒或者中马后，病毒、木马大都是以管理员权限运行的。我们在系统中毒后一般都是用杀毒软件来杀毒，如果你的杀软瘫痪了，或者杀毒软件只能查出来，但无法清除，这时候就只能赤膊上阵，手工杀毒了。在 Adinistrator权限下，如果手工查杀对于有些病毒无能为力，一般要启动到安全模式下，有时就算到了安全模式下也无法清除干净。如果以SYSTEM权限登录，查杀病毒就容易得多。
    操作：(以一次手工杀毒为例，我为了截图在虚拟机上模拟了前段时间的一次手工杀毒。)打“Windows 任务管理器”，发现有个可疑进程“86a01.exe”，在Administrator管理员下无法结束进程(图9)，当然更无法删除在系统目录下的病毒原文件“86a01.exe”。以System权限登录系统，进程被顺利结束，然后删除病毒原文件，清除注册表中的相关选项，病毒被彻底清理出系统。
四、总结
    System权限是比 Administrator权限还高的系统最高权限，利用它可以完成很多常规情况下无法完成的任务，它的应用还有很多，我的文章只是抛砖引玉，希望大家能够在实践中挖掘更多实用的技巧。当然，最大的权限也就意味着更大的危险，就好比手握“尚方宝剑”，可不要滥杀无辜呀!在使用过程中建议大家用“系统管理员权限”，甚至“一般用户权限”，只有在特殊情况下才用System权限。

System 帐户权限远比 Administrators 高。

软件运行有微小可能导致资源管理器关闭了没有重新启动过来，请手动执行。

注明：斑斑老大发话啦，偶就把批处理贴出来吧，写的很简单，请板砖呵呵。

=============================================

@echo off & cls
title 切换到真正的最高权限 SYSTEM 账户 BY 易小岚
echo.
echo 运行环境：Win 2000 / WIN XP / WIN 2003 Server
echo.
echo 运行权限：必须以 Administrators 管理员组运行
echo.
echo 运行需知：程序会自动开启 Task Scheduler 服务
echo.
echo 程序提示：如果要返回原账号只需注销或重启即可
echo.
echo 作者信息：微软中文论坛官方QQ资讯群： 2913513
echo.
echo.
echo.
echo.
echo.
echo.
echo.
echo __________ 按任意键开始部署切换，退出请直接关闭这个窗口 __________
echo.
echo.
pause >nul
:Task Scheduler 使用户能在此计算机上配置和制定自动任务的日程。如果此服务被终止，这些任务将无法在日程时间里运行。如果此服务被禁用，任何依赖它的服务将无法启动。
sc config Schedule start= auto >nul
sc start Schedule >nul
PING 127.0.0.1 -n 2 >nul
set TIMEHOU=%time:~-11,-9%:
set /a TIMEMIN=%time:~-8,-6%+1
set /a TIMESEN=60-%time:~-5,-3%
at %TIMEHOU%%TIMEMIN% /interactive %systemroot%\explorer.exe >nul
PING 127.0.0.1 -n 2 >nul
taskkill /f /im explorer.exe >nul
:echos
if %TIMESEN% LEQ 1 goto exits
PING 127.0.0.1 -n 2 >nul
set /a TIMESEN=60-%time:~-5,-3%
title 等待 %TIMESEN% 秒后切换到 SYSTEM 帐户 BY 易小岚
goto echos
:exits
exit

====================================================