Win10开管理员级资源管理器
2024-1-11 20:48:2 Author: mp.weixin.qq.com(查看原文) 阅读量:7 收藏

创建: 2024-01-11 17:37
https://scz.617.cn/windows/202401111737.txt

有时出于研究方便,高级用户可能想开管理员级资源管理器。但不知从哪个版本Win10开始,想开一个管理员级资源管理器,非常困难,不信你可以试试。

现在,explorer.exe缺省只有一个实例,Process Explorer中Integrity为Medium。正常情况下,无论后续开多少个资源管理器,都只有一个explorer.exe进程。若非要开多实例,可以这样:

$ explorer.exe /n,C:\

正常情况下无论从何处启动explorer.exe多实例,最终都交给某个svchost.exe作为父进程来启动它,从cmd、Win-R、任务管理器启动多实例都一样。

$ tasklist /svc /fi "pid eq <pid>"

Image Name                     PID Services
========================= ======== ============================================
svchost.exe                    768 BrokerInfrastructure, DcomLaunch, PlugPlay,
                                   Power, SystemEventsBroker

不知具体是哪个服务启动explorer.exe,应该是DcomLaunch。靠多实例的思路解决不了管理员级资源管理器的问题,还是低权限。

各种排列组合不说了,说最后结论,必须杀掉所有已知explorer.exe实例,再指定一个特殊参数来启动管理员级资源管理器,比如在管理员级cmd中执行:

$ taskkill /f /im explorer.exe && pause && explorer /nouaccheck

在任务管理器GUI中操作也可以,同样需要杀实例,再指定"/nouaccheck"参数。

怎么判断拥有管理员级资源管理器?

Task Manager->Details->Select columns->Elevated (特权)

访列为Yes,表示提升至管理员级权限,反之为普通权限。也可用Process Explorer,Integrity为High即是。

进一步查看DCOM设置及相关注册表项:

dcomcnfg.exe
  Console Root
    Component Services
      Computers
        My Computer
          DCOM Config
            Elevated-Unelevated Explorer Factory

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\AppID\{CDCBCFCA-3CDC-436f-A4E2-0E02075250C2}]
@="Elevated-Unelevated Explorer Factory"
"AppIDFlags"=dword:00000001
"RunAs"="Interactive User"

[HKEY_CLASSES_ROOT\CLSID\{5BD95610-9434-43C2-886C-57852CC8A120}]
@="CLSID_ControlPanelProcessExplorerHost"
"AppId"="{CDCBCFCA-3CDC-436f-A4E2-0E02075250C2}"

[HKEY_CLASSES_ROOT\CLSID\{5BD95610-9434-43C2-886C-57852CC8A120}\LocalServer32]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
  00,5c,00,65,00,78,00,70,00,6c,00,6f,00,72,00,65,00,72,00,2e,00,65,00,78,00,\
  65,00,20,00,2f,00,66,00,61,00,63,00,74,00,6f,00,72,00,79,00,2c,00,7b,00,35,\
  00,42,00,44,00,39,00,35,00,36,00,31,00,30,00,2d,00,39,00,34,00,33,00,34,00,\
  2d,00,34,00,33,00,43,00,32,00,2d,00,38,00,38,00,36,00,43,00,2d,00,35,00,37,\
  00,38,00,35,00,32,00,43,00,43,00,38,00,41,00,31,00,32,00,30,00,7d,00,00,00

[HKEY_CLASSES_ROOT\CLSID\{682159d9-c321-47ca-b3f1-30e36b2ec8b9}]
@="CLSID_DesktopExplorerHost"
"AppId"="{CDCBCFCA-3CDC-436f-A4E2-0E02075250C2}"

[HKEY_CLASSES_ROOT\CLSID\{682159d9-c321-47ca-b3f1-30e36b2ec8b9}\LocalServer32]
@=hex(2):...

[HKEY_CLASSES_ROOT\CLSID\{75dff2b7-6936-4c06-a8bb-676a7b00b24b}]
@="CLSID_SeparateMultipleProcessExplorerHost"
"AppId"="{CDCBCFCA-3CDC-436f-A4E2-0E02075250C2}"
"SingleUse"=""

[HKEY_CLASSES_ROOT\CLSID\{75dff2b7-6936-4c06-a8bb-676a7b00b24b}\LocalServer32]
@=hex(2):...

[HKEY_CLASSES_ROOT\CLSID\{ceff45ee-c862-41de-aee2-a022c81eda92}]
@="CLSID_SeparateSingleProcessExplorerHost"
"AppId"="{CDCBCFCA-3CDC-436f-A4E2-0E02075250C2}"

[HKEY_CLASSES_ROOT\CLSID\{ceff45ee-c862-41de-aee2-a022c81eda92}\LocalServer32]
@=hex(2):...
--------------------------------------------------------------------------

LocalServer32中@的值是:

%SystemRoot%\explorer.exe /factory,{5BD95610-9434-43C2-886C-57852CC8A120}
%SystemRoot%\explorer.exe /factory,{682159d9-c321-47ca-b3f1-30e36b2ec8b9}
%SystemRoot%\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b}
%SystemRoot%\explorer.exe /factory,{ceff45ee-c862-41de-aee2-a022c81eda92}

{CDCBCFCA-3CDC-436f-A4E2-0E02075250C2}这个子键只有TrustedInstaller对之有"完全控制"权限,SYSTEM、Administrators组都是只读。可用WinPE、WinRE修改该处注册表项。也可临时将"所有者"改成当前用户,完成修改后再将"所有者"改回"NT SERVICE\TrustedInstaller"。假设已满足权限要求,可重命名或删除其下RunAs键值,比如改成"_RunAs_",据说可禁用前述explorer.exe安全防护措施,我未实测。


文章来源: https://mp.weixin.qq.com/s?__biz=MzUzMjQyMDE3Ng==&mid=2247487066&idx=1&sn=fa85cecdba84684489ec703ca6c32b4b&chksm=fab2cd65cdc544734c819bc85597f5567e0af8c5cb49ccbb43180edb185b3e82856054eaefdc&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh