如何在系统登陆桌面运行程序

这是有位朋友看到我的博客文章《 OpenThread种种》中的这个截屏后问的问题,这里解释一下。
如何在系统登陆桌面运行程序_第1张图片

首先要明白的是,在基于Windows NT(包括2K/XP/2K3等)的系统中,除了smss.exe (Session Manager Subsystem),其他进程都至少关联到一个Window Station和一个Desktop(Desktop隶属于某个Window Station)。在用户登陆后,运行的程序一般都关联到WinSta0/Default桌面(WinSta0为window station名,Default为桌面名)。对于以系统身份登陆的服务程序,会关联到Service-0x0-3e7$/Default。而上面截图中的系统登陆界面则是WinSta0/Winlogon。
如果你使用过CreateProcess API的话应该对STARTUPINFO结构不陌生:
typedef  struct  _STARTUPINFO  {
    DWORD   cb;
    LPTSTR  lpReserved;
    LPTSTR  lpDesktop;
    LPTSTR  lpTitle;
    DWORD   dwX;
    DWORD   dwY;
    DWORD   dwXSize;
    DWORD   dwYSize;
    DWORD   dwXCountChars;
    DWORD   dwYCountChars;
    DWORD   dwFillAttribute;
    DWORD   dwFlags;
    WORD    wShowWindow;
    WORD    cbReserved2;
    LPBYTE  lpReserved2;
    HANDLE  hStdInput;
    HANDLE  hStdOutput;
    HANDLE  hStdError;
}
 STARTUPINFO,  * LPSTARTUPINFO;

这里关键的一个参数是lpDesktop。在登陆界面运行一个程序其实就是把它的桌面指定到"WinSta0/Winlogon":
STARTUPINFO si;
PROCESS_INFORMATION pi;
ZeroMemory( 
& si,  sizeof (STARTUPINFO) );
si.cb 
=   sizeof ( STARTUPINFO );
si.lpDesktop 
= "WinSta0/Winlogon" ;
if ( ::CreateProcessA( "c://windows//system32//notepad.exe",
        NULL, NULL, NULL, FALSE, 
0 , NULL, NULL,
        
& si,  & pi ) )
{
    ::CloseHandle( pi.hProcess );
    ::CloseHandle( pi.hThread );
}


真的就这么简单?基本上就这么简单,前提是你得有足够高的权限来运行这段代码。高到什么程度?高到你至少要有管理员权限,但在运行这段代码之前你还要拿到比管理员还高的权限,即SYSTEM权限才行!其实关键是要拿到TCB特权-如果你的帐号有这个特权,直接运行这段代码就行了。否则的话就要费点儿劲。有几种方法可用。
  • 方法之一,是用组策略编辑器给你的帐号加上TCB特权:
Local Computer Policy -> Computer Configuration-> Windows Settings -> Security Settings -> Local Policies -> User Rights Assigments,在"Act as part of operating system"里加上你的帐号。缺点是这种方法太危险,TCB特权实在太高了,万一被别的程序利用,你的系统就玩完儿了,微软的建议是除非必要绝对不要启用这个特权。
  • 方法之二是把你的程序安装成服务程序并以系统帐号运行。缺点是你要写一个服务程序,好像有点儿小题大做。
  • 方法之三是Scheduler启动你的程序:at <hh:mm> "your program"。缺点是Scheduler服务程序必须运行。
  • 方法之四,是远程注入,即写一段代码把CreateProcess代码注入到具有TCP特权的进程(比如winlogon.exe或者任何用系统帐号启动的服务进程)。这是我做这张截图时用的方法。远程注入看起来很难做,其实网上有现成的库可用,比如CodeProject的这个。用这种方法有一点要注意的是在Windows XP SP2及以后的操作系统上,需要先打开Debug特权代码注入会失败。在XP SP2以前的版本中DEBUG特区是默认打开的,所以没有问题。
  • 方法之五,上面的四种方法都是在管理员权限的基础上间接获得TCB特权。但是最方便的方法无疑应该是直接用代码获得TCB权限。我记得以前在网上看过别人介绍怎么做,可惜现在忘掉了,回头研究研究。

你可能感兴趣的:(windows,session,manager,Security,null,System)