Windows系統下獲取SYSTEM權限設置

　　默認情況下我們無法直接在登錄對話框上以SYSTEM帳戶的身份登錄到Windows桌面環境實際上SYSTEM帳戶早就已經“盤踞”在系統中了想想也是連負責用戶驗證的WinlogonLsass等進程都是以SYSTEM身份運行的誰還能有資格檢驗SYSTEM呢?既然SYSTEM帳戶早就已經出現在系統中所以只需以SYSTEM帳戶的身份啟動Windows的Shell程序Explorer就相當於用SYSTEM身份登錄Windows了

　　以SYSTEM帳戶的身份啟動Explorer

　　打開命令提示符輸入命令“taskkill /f /im explorerexe” 並回車這個命令是結束當前賬戶explorer即圖形用戶界面的Shell然後在命令提示符下繼續輸入“at time /interactive %systemroot%explorerexe”並回車其中“time”為當前系統時間稍後的一個時間比如間隔一秒當前系統時間可以在命令提示符下輸入“time”命令獲得一秒鐘後會重新加載用戶配置以SYSTEM身份啟動Windows的shell進程Explorerexe

　　驗證exeplorerexe是否以system權限運行

　　如何知道exeplorerexe是以system權限運行呢?

　　通過“開始”菜單可以看到最上面顯示的是system賬戶另外打開注冊表編輯器只要證明HKCU就是HKUS的鏈接就可以了(S就是SYSTEM帳戶的SID)證明方法很簡單在HKCU下隨便新建一個Test子項然後刷新再看看HKUS下是否同步出現了Test子項如果是就說明系統當前加載的就是SYSTEM帳戶的用戶配置單元當然最簡單的是在命令提示符號下輸入命令“whoami”進行驗證如圖所示顯示為“NT AUTHORITYSYSTEM”這就證明當前exeplorerexe是System權限

　　System權限的實際用處

　　System權限的Explorerexe在實際中有什麼用呢?下面筆者隨意列舉幾個使用實例

　　()注冊表訪問

　　我們知道在非SYSTEM權限下用戶是沒有權限訪問某些注冊表項的比如“HKEY_LOCAL_MACHINESAM”“HKEY_LOCAL_MACHINESECURITY”等這些項記錄的是系統的核心數據某些病毒或者木馬會光顧這裡比如在SAM項目下建立具有管理員權限的隱藏賬戶這樣的帳戶在命令及“本地用戶和組”管理器(lusrmgrmsc)中是無法看到的造成了很大的安全隱患在“SYSTEM”權限下注冊表的訪問就沒有任何障礙我們打開注冊表定位到“HKEY_LOCAL_MACHINESAMSAMDomainsAccount”項下所有的隱藏帳戶就都暴露了

　　()訪問系統還原文件

　　系統還原是windows系統的一種自我保護措施它在每個磁盤根目錄下建立“System Colume Information”文件夾保存一些系統信息以備系統恢復是使用該文件具有系統隱藏屬性管理員用戶是沒有操作權限的正因為如此它成了病毒木馬的棲身之地我們就可以在System權限下進入該文件夾刪除病毒當然你也可以關閉“系統還原”預防此類病毒但這樣未免顯得被動有些因噎廢食

　　()更換系統文件

　　Windows系統為系統文件做了保護機制一般情況下你是不可能更換系統文件的因為系統中都有系統文件的備份它存在於c:WINDOWSsystemdllcache(假設你的系統裝在C盤)當你更換了系統文件後系統自動就會從這個目錄中恢復相應的系統文件當目錄中沒有相應的系統文件的時候會彈出提示讓你插入安裝盤

　　在實際應用中如果有時你需要Diy自己的系統修改一些系統文件或者用高版本的系統文件更換低版本的系統文件讓系統功能提升比如Window XP系統只支持一個用戶遠程登錄如果你要讓它支持多用戶的遠程登錄要用Windows 的遠程登錄文件替換Window XP的相應文件這在非SYSTEM權限下很難實現但是在SYSTEM權限下就可以很容易實現

　　從Windows 的系統中提取termsrvdll文件用該文件替換Windows XP的C:WINDOWSsystem下的同名文件(對於Windows XP SP還必須替換C:WINDOWS$NtServicePackUninstall$和C:WINDOWSServicePackFilesi目錄下的同名文件)再進行相應的系統設置即可讓Windows XP支持多用戶遠程登錄

　　()手工殺毒

　　用戶在使用電腦的過程中一般都是用Administrator或者其它的管理員用戶登錄的中毒或者中馬後病毒木馬大都是以管理員權限運行的我們在系統中毒後一般都是用殺毒軟件來殺毒如果殺軟癱瘓了或者殺毒軟件只能查出來但無法清除這時候就只能赤膊上陣手工殺毒了

　　在Adinistrator權限下如果手工查殺對於有些病毒無能為力一般要啟動到安全模式下有時就算到了安全模式下也無法清除干淨如果以SYSTEM權限登錄查殺病毒就容易得多

　　以一次手工殺毒為例(為了截圖在虛擬機上模擬了前段時間的一次手工殺毒)打“Windows 任務管理器”發現有個可疑進程“aexe”在Administrator管理員下無法結束進程當然更無法刪除在系統目錄下的病毒原文件“aexe”

　　以System權限登錄系統進程被順利結束然後刪除病毒原文件清除注冊表中的相關選項病毒被徹底清理出系統

　　總結

　　System權限是比Administrator權限還高的系統最高權限利用它可以完成很多常規情況下無法完成的任務當然最大的權限也就意味著更大的危險就好比手握“尚方寶劍”可不要濫殺無辜呀!在使用過程中建議大家用“系統管理員權限”或者“一般用戶權限”只有在特殊情況下才用System權限

From:http://tw.wingwit.com/Article/os/xtgl/201311/9598.html