ExecRunAsV4--创建一个TI权限的进程-20241015

tubaba

相对于V1版本的几个特点：
1。创建system权限的进程不再需要通过服务的方式进行创建，只需admin权限即可。
2。强大的命令行调用方式，提供命令行预览测试窗口，可生成特定的快捷方式或批处理文件调用指定进程。
3。所有功能的实现均为调用win32 API.

ExecRunAs written by tubaba.

注意:此应用部分功能只支持 "windows vista" 以后的操作系统版本.

ExecRunAs 命令行介绍:

格式: ExecRunAs [ 选项与参数 ] 命令行或常用任务名

   1. 所有的命令行参数不区分大小写.   

   2. 可以在命令行参数中使用 "/" 代替 "-" 和使用 "=" 代替 ":".例如 "/USER:T" 和 "-user=t" 是等价的.   

   3. 参数没有先后顺序.   

选项:

-USER:[ 选项 ] 以指定用户选项创建进程.可用选项:

    T        TrustedInstaller

S        System

D        Desktop

    C        当前用户

    CE        当前用户 (UAC提权)

    RA        指定用户

注: 这是一个必须被包含的参数.

-NM:[ 选项 ] 指定帐户名称,仅当参数 "-USER" 使用选项 "RA" 时检查此参数.

注: 当指定参数 "-USER:RA" 时,必须指定此项.

-PW:[ 选项 ] 指定帐户密码,仅当参数 "-USER" 使用选项 "RA" 时检查此参数.

注: 当指定参数 "-USER:RA" 时,必须指定此项.

-DM:[ 选项 ] 指定执行域,仅当参数 "-USER" 使用选项 "RA" 时检查此参数.

注: 当指定参数 "-USER:RA" 时,如没有指定此项.则默认使用 当前域.

-LF:[ 选项 ] 指定登录标志,仅当参数 "-USER" 使用选项 "RA" 时检查此参数.

        0 不加载配置文件的交互式登录.

        1 加载配置文件的交互式登录.

        2 使用网络凭据.

        4 继承调用进程的环境, 而不是用户环境.

注: 可以叠加使用,但"加载配置文件的交互式登录"和"使用网络凭据"选项是不兼容的.同时使用会产生不确定的结果.当指定参数 "-USER:RA" 时,如没有指定此项.则默认使用 0 (不加载配置文件的交互式登录).

-UA:[ 选项 ] UIAccess,为进程附加UIAccess特殊安全属性.可用选项:

    E 启用

D 禁用

注: 若未指定此选项, 将不会进行附加操作.

-IL:[ 选项 ] IntegrityLevel,以指定完整性等级创建进程.可用选项:

    S 系统

    H 高

    M 中

    L 低

注: 如果想以默认完整性选项创建进程的话, 请不要包含 "-IL" 参数.

-PRIV:[ 选项 ] Privilege, 以指定特权选项创建进程.可用选项:

    E 启用全部特权

    D 禁用所有特权

注: 如果想以默认特权选项创建进程的话, 请不要包含 "-PRIV" 参数.

-SWM:[ 选项 ] ShowWindowMode, 以指定窗口模式选项创建进程.可用选项:

    Show 显示窗口

    Hide 隐藏窗口

    Maximize 最大化

    Minimize 最小化

注: 如果想以默认窗口模式选项创建进程的话, 请不要包含 "-SWM" 参数.这个参数并不是对所有程序都有效.由程序设计决定.

-PRIO:[ 选项 ] PriorityLevel, 创建进程后指定进程优先级.可用选项:

    Idle 低

    BelowNormal 低于正常

    Normal 正常

    AboveNormal 高于正常

    High 高

    RealTime 实时

注: 如果想以默认进程优先级创建进程的话, 请不要包含 "-PRIO" 参数.

-CD:[ 选项 ] CurrentDirectory,指定工作目录.如没有指定此项,则默认使用 "system32"或"syswow64" 文件夹路径.

-SEM:[ 选项 ] ShowErrorMsg,当发生错误时,是否显示错误信息.

    H 不显示错误信息.

    C 错误信息输出到 STDOUT(标准输出流).

    W 错误信息显示到消息盒子.

注: 若未指定此选项,发生错误时,默认显示错误消息到消息盒子.

示例:

    1、以TrustedInstaller权限,启用所有特权,完整性高,工作目录"C:\Windows\SysWOW64\", 运行命令提示符带参数"/k whoami /all":

        ExecRunAsV4.exe "/user:t" "/il:h" "/priv:e" "/cd:C:\Windows\SysWOW64\" ""C:\Windows\system32\cmd.exe"  /k whoami /all"

    2、以用户"administrator",密码"XXXXX",执行域"local",加载用户环境变量方法启动的[以System权限, 启用所有特权,完整性高,工作目录"C:\", 运行命令提示符带参数"/k whoami /all"]:

        ExecRunAsV4.exe "/user:ra" "/nm:administrator" "/pw:XXXXX" "/dm:local" "/lf:1" "/cd:C:\" " ExecRunAsV4.exe ""/user:s""  ""/il:h"" ""/priv:e""   ""/cd:C:\"" """"C:\Windows\system32\cmd.exe""  /k whoami /all"" "

(注意正确的使用双引号)

System权限的实际用处（转）：

1、注册表访问：

　　在非SYSTEM权限下，用户是不能访问某些注册表项的，比如“HKEY_LOCAL_MACHINE\ SAM”、“HKEY_LOCAL_MACHINE\ SECURITY”等。这些项记录的是系统的核心数据，但某些病毒或者木马经常光顾这里。比如在SAM项目下建立具有管理员权限的隐藏账户，在默认情况下管理员通过在命令行下敲入“net user”或者在“本地用户和组”(lusrmgr.msc)中是无法看到的，给系统造成了很大的隐患。在“SYSTEM”权限下，注册表的访问就没有任何障碍，一切黑手都暴露无遗!

2、访问系统还原文件：

　　系统还原是windows系统的一种自我保护措施，它在每个根目录下建立“System Volume Information”文件夹，保存一些系统信息以备系统恢复时使用。如果你不想使用“系统还原”，或者想删除其下的某些文件，这个文件夹具有隐藏、系统属性，非SYSTEM权限是无法删除的。如果以SYSTEM权限登录你就可以任意删除了，甚至你可以在它下面建立文件，达到保护隐私的作用。

3、更换系统文件：

　　Windows系统为系统文件做了保护机制，一般情况下你是不可能更换系统文件的。在实际应用中如果有时你需要Diy自己的系统修改一些系统文件，或者用高版本的系统文件更换低版本的系统文件，让系统功能提升。

4、手工杀毒：

　　用户在使用电脑的过程中一般都是用Administrator或者其它的管理员用户登录的，中毒或者中马后，病毒、木马大都是以管理员权限运行的。我们在系统中毒后一般都是用杀毒软件来杀毒，如果你的杀软瘫痪了，或者杀毒软件只能查出来，但无法清除，这时候就只能赤膊上阵，手工杀毒了。在Adinistrator权限下，如果手工查杀对于有些病毒无能为力，一般要启动到安全模式下，有时就算到了安全模式下也无法清除干净。如果以SYSTEM权限登录，查杀病毒就容易得多。

TI权限介绍(转):

TI即TrustedInstaller，是Windows Update等系统组件需要修改文件时，使用的“代理”。

TI的权限非常高~ 堪称Windows版的ROOT权限~

TI CMD可以让你在不修改/破坏NTFS权限设置下，直接对大部分系统文件进行操作，比如替换、重命名、删除……

已验证可以成功修改的文件包括explorer.exe、shell32.exe、iexplore.exe。

这不代表SYSTEM CMD一无是处，有些路径，如 C:\Windows\System32\config\systemprofile，必须通过SYSTEM CMD才能读写。不过一般情况下，还是TI CMD会比较好用。

UIAccess介绍(转):

UIAccess可用于一些特殊的程序，让它们可以忽略UIPI（UI特权隔离）。这类程序一般以普通方式运行，但它们需要访问已提权的窗口。还可以用来创建最高Z序的窗口（如用作截图工具的形状提示器）。

在Windows7及以下系统，直接用SetWindowPos(HWND_TOPMOST)可以使窗口在最上层。但从Windows8开始，微软引入了其他窗口段（Band），它们从低到高的顺序如下：

ZBID_DESKTOP

ZBID_IMMERSIVE_BACKGROUND

ZBID_IMMERSIVE_APPCHROME

ZBID_IMMERSIVE_MOGO

ZBID_IMMERSIVE_INACTIVEMOBODY

ZBID_IMMERSIVE_NOTIFICATION

ZBID_IMMERSIVE_EDGY

ZBID_SYSTEM_TOOLS

ZBID_LOCK（仅Windows 10）

ZBID_ABOVELOCK_UX（仅Windows 10）

ZBID_IMMERSIVE_IHM

ZBID_GENUINE_WINDOWS

ZBID_UIACCESS

默认的窗口段是ZBID_DESKTOP，这导致无论如何SetWindowPos，窗口的Z序始终低于设置过其他更高层段的窗口。

感谢:

本项目借鉴了

1. M2-Team开源项目Nsudo：

https://github.com/M2Team/NSudo.(https://bbs.pcbeta.com/viewthread-1675661-1-1.html)

2. jschicht开源项目RunAsTI：

https://github.com/jschicht/RunAsTI

3. killtimer0开源项目 UIAccess：

https://github.com/killtimer0/uiaccess

4. ZeroMemoryEx开源项目Blackout

https://github.com/ZeroMemoryEx/Blackout

更新历史：

20240905

V1.5

增加:使用知名的gmer64.sys内核驱动来结束系统内顽固进程,包括EDR(端点检测和响应)和AV(防病毒软件)的用户态进程.使用此功能前请知道你在干什么,否则可能对系统稳定性或安全性造成不可逆的损害。

20230125

V1.4

增加:现在可以创建指定父进程的进程.(在命令行模式下,不支持此功能).

20230111

V1.3

修改：创建TI权限进程从启动2次改为1次.(不再启动System权限的另一个进程来访问TrustedInstaller服务).

增加：为进程附加UIAccess特殊安全属性(可以让拥有置顶属性的窗口覆盖任何其它窗口).

20230109

V1.2

修改：在启动新的进程后还原本进程所拥有的特权.

20220516

V1.1

修改：激活命令行预览窗口后,将自动启用可能被禁用的选项,便于调试与创建.关闭后重新禁用.

20220101

V1.0

发布第一版

anythinging

这个很强大，试试看

anythinging

前段时间有个execruns，和这个有点象

wlishihua

钱呀钱，没钱真难办，好累、回复、挣钱

redapple2008

辛苦了，这么好的软件，用心了

yuantian

谢谢分享
谢谢，，学习一下哈哈哈。

resethdd

很强大的工具

lovelongpeng

牛皮啊 膜拜大神