如何在系统登陆桌面运行程序

这是有位朋友看到我的博客文章《 OpenThread种种》中的这个截屏后问的问题,这里解释一下。
如何在系统登陆桌面运行程序_第1张图片

首先要明白的是,在基于Windows NT(包括2K/XP/2K3等)的系统中,除了smss.exe (Session Manager Subsystem),其他进程都至少关联到一个Window Station和一个Desktop(Desktop隶属于某个Window Station)。在用户登陆后,运行的程序一般都关联到WinSta0\Default桌面(WinSta0为window station名,Default为桌面名)。对于以系统身份登陆的服务程序,会关联到Service-0x0-3e7$\Default。而上面截图中的系统登陆界面则是WinSta0\Winlogon。
如果你使用过CreateProcess API的话应该对STARTUPINFO结构不陌生:
typedef struct _STARTUPINFO ... {
DWORDcb;
LPTSTRlpReserved;
LPTSTRlpDesktop;
LPTSTRlpTitle;
DWORDdwX;
DWORDdwY;
DWORDdwXSize;
DWORDdwYSize;
DWORDdwXCountChars;
DWORDdwYCountChars;
DWORDdwFillAttribute;
DWORDdwFlags;
WORDwShowWindow;
WORDcbReserved2;
LPBYTElpReserved2;
HANDLEhStdInput;
HANDLEhStdOutput;
HANDLEhStdError;
}
STARTUPINFO, * LPSTARTUPINFO;

这里关键的一个参数是lpDesktop。在登陆界面运行一个程序其实就是把它的桌面指定到"WinSta0\Winlogon":
STARTUPINFOsi;
PROCESS_INFORMATIONpi;
ZeroMemory(
& si, sizeof (STARTUPINFO));
si.cb
= sizeof (STARTUPINFO);
si.lpDesktop
="WinSta0\Winlogon" ;
if (::CreateProcessA( "c:\\windows\\system32\\notepad.exe",
NULL,NULL,NULL,FALSE,
0 ,NULL,NULL,
& si, & pi))
... {
::CloseHandle(pi.hProcess);
::CloseHandle(pi.hThread);
}


真的就这么简单?基本上就这么简单,前提是你得有足够高的权限来运行这段代码。高到什么程度?高到你至少要有管理员权限,但在运行这段代码之前你还要拿到比管理员还高的权限,即SYSTEM权限才行!其实关键是要拿到TCB特权-如果你的帐号有这个特权,直接运行这段代码就行了。否则的话就要费点儿劲。有几种方法可用。
  • 方法之一,是用组策略编辑器给你的帐号加上TCB特权:
Local Computer Policy -> Computer Configuration-> Windows Settings -> Security Settings -> Local Policies -> User Rights Assigments,在"Act as part of operating system"里加上你的帐号。缺点是这种方法太危险,TCB特权实在太高了,万一被别的程序利用,你的系统就玩完儿了,微软的建议是除非必要绝对不要启用这个特权。
  • 方法之二是把你的程序安装成服务程序并以系统帐号运行。缺点是你要写一个服务程序,好像有点儿小题大做。
  • 方法之三是Scheduler启动你的程序:at <hh:mm> "your program"。缺点是Scheduler服务程序必须运行。
  • 方法之四,是远程注入,即写一段代码把CreateProcess代码注入到具有TCP特权的进程(比如winlogon.exe或者任何用系统帐号启动的服务进程)。这是我做这张截图时用的方法。远程注入看起来很难做,其实网上有现成的库可用,比如CodeProject的这个。用这种方法有一点要注意的是在Windows XP SP2及以后的操作系统上,需要先打开Debug特权代码注入会失败。在XP SP2以前的版本中DEBUG特区是默认打开的,所以没有问题。
  • 方法之五,上面的四种方法都是在管理员权限的基础上间接获得TCB特权。但是最方便的方法无疑应该是直接用代码获得TCB权限。我记得以前在网上看过别人介绍怎么做,可惜现在忘掉了,回头研究研究。

你可能感兴趣的:(windows,XP,Security)