[翻译]无需文件的UAC绕过方式：使用eventvmr.exe和注册表劫持-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
zjwzssbzt 雪币： 95 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 1 关注私信	zjwzssbzt 2 楼虽然看不懂，但还是马克！ 2016-12-25 17:27 0
泰国老大雪币： 351 活跃值： (339) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 45 粉丝 0 关注私信	泰国老大 3 楼好像不通用，我只在HKLM找到了该值，HKLM普通用户没有写权限。（win7 64 SP1） 2016-12-25 19:08 0
gmhzxy 雪币： 284 活跃值： (250) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 135 粉丝 14 关注私信	gmhzxy 4 楼可以，顶个，还有一个玩意儿也是这样的。忘记了 2016-12-25 19:31 0
Rprop 雪币： 878 活跃值： (496) 能力值： ( LV3，RANK：20 ) 在线值：发帖 35 回帖 743 粉丝 12 关注私信	Rprop 5 楼所以UAC总是提醒还是有必要的, 我的系统上eventvwr.exe本身就会弹UAC 2016-12-25 22:07 0
lxsgbin 雪币： 1651 活跃值： (1425) 能力值： ( LV6，RANK：80 ) 在线值：发帖 39 回帖 147 粉丝 45 关注私信	lxsgbin 1 6 楼标准账户能不能提权？ 2016-12-28 22:44 0
ymcyyf 雪币： 209 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 14 粉丝 0 关注私信	ymcyyf 7 楼这个有什么实战意义吗……第一个步骤用的sigcheck工具，本身是不是需要管理员权限的啊？ 2016-12-29 02:15 0
银雁冰雪币： 9662 活跃值： (4588) 能力值： ( LV15，RANK：800 ) 在线值：发帖 32 回帖 94 粉丝 150 关注私信	银雁冰 16 8 楼就是在标准账户下提的权，不过只提到管理员权限 2016-12-29 16:45 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 9 楼属于管理员组的用户并且非最高权限级别才能提权... http://www.freebuf.com/sectool/114592.html 2016-12-29 16:51 0
银雁冰雪币： 9662 活跃值： (4588) 能力值： ( LV15，RANK：800 ) 在线值：发帖 32 回帖 94 粉丝 150 关注私信	银雁冰 16 10 楼这个工具只是原作者用来确认eventvmr.exe是一个具有管理员权限的进程的说明，绕过UAC时不需要用到sigcheck啊，我认为原文的重点只有一句话“an elevated process is somehow interacting with a registry location that a medium integrity process can tamper with”，正是这个原因导致了这种Bypass方式的出现，而这个背后究竟是什么原因，就不知道了 2016-12-29 16:53 0
renyifei 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	renyifei 11 楼是可以用的。但是问题在于修改HKCU下的这个注册表时，防护软件会告警。另外用完记得改回去，不然mmc的用不了了 2017-6-29 11:52 0
bjyjip 雪币： 2592 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 88 粉丝 0 关注私信	bjyjip 13 楼操作注册表时。把自己的程序写到注册表项不成功，因为也要有管理员权限。 2017-8-9 11:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (11)
zjwzssbzt 雪币： 95 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 13 粉丝 1 关注私信	zjwzssbzt 2 楼虽然看不懂，但还是马克！ 2016-12-25 17:27 0
泰国老大雪币： 351 活跃值： (339) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 45 粉丝 0 关注私信	泰国老大 3 楼好像不通用，我只在HKLM找到了该值，HKLM普通用户没有写权限。（win7 64 SP1） 2016-12-25 19:08 0
gmhzxy 雪币： 284 活跃值： (250) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 135 粉丝 14 关注私信	gmhzxy 4 楼可以，顶个，还有一个玩意儿也是这样的。忘记了 2016-12-25 19:31 0
Rprop 雪币： 878 活跃值： (496) 能力值： ( LV3，RANK：20 ) 在线值：发帖 35 回帖 743 粉丝 12 关注私信	Rprop 5 楼所以UAC总是提醒还是有必要的, 我的系统上eventvwr.exe本身就会弹UAC 2016-12-25 22:07 0
lxsgbin 雪币： 1651 活跃值： (1425) 能力值： ( LV6，RANK：80 ) 在线值：发帖 39 回帖 147 粉丝 45 关注私信	lxsgbin 1 6 楼标准账户能不能提权？ 2016-12-28 22:44 0
ymcyyf 雪币： 209 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 14 粉丝 0 关注私信	ymcyyf 7 楼这个有什么实战意义吗……第一个步骤用的sigcheck工具，本身是不是需要管理员权限的啊？ 2016-12-29 02:15 0
银雁冰雪币： 9662 活跃值： (4588) 能力值： ( LV15，RANK：800 ) 在线值：发帖 32 回帖 94 粉丝 150 关注私信	银雁冰 16 8 楼就是在标准账户下提的权，不过只提到管理员权限 2016-12-29 16:45 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 9 楼属于管理员组的用户并且非最高权限级别才能提权... http://www.freebuf.com/sectool/114592.html 2016-12-29 16:51 0
银雁冰雪币： 9662 活跃值： (4588) 能力值： ( LV15，RANK：800 ) 在线值：发帖 32 回帖 94 粉丝 150 关注私信	银雁冰 16 10 楼这个工具只是原作者用来确认eventvmr.exe是一个具有管理员权限的进程的说明，绕过UAC时不需要用到sigcheck啊，我认为原文的重点只有一句话“an elevated process is somehow interacting with a registry location that a medium integrity process can tamper with”，正是这个原因导致了这种Bypass方式的出现，而这个背后究竟是什么原因，就不知道了 2016-12-29 16:53 0
renyifei 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	renyifei 11 楼是可以用的。但是问题在于修改HKCU下的这个注册表时，防护软件会告警。另外用完记得改回去，不然mmc的用不了了 2017-6-29 11:52 0
bjyjip 雪币： 2592 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 88 粉丝 0 关注私信	bjyjip 13 楼操作注册表时。把自己的程序写到注册表项不成功，因为也要有管理员权限。 2017-8-9 11:50 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复