主頁 > 知識庫 > Windows系統(tǒng)下獲取SYSTEM權(quán)限設(shè)置的方法

Windows系統(tǒng)下獲取SYSTEM權(quán)限設(shè)置的方法
熱門標(biāo)簽:鐵路電話系統(tǒng) 硅谷的囚徒呼叫中心 科大訊飛語音識別系統(tǒng) 萬科 電銷機(jī)器人源碼 電銷機(jī)器人 電話機(jī)器人搭建 呼叫中心案例
默認(rèn)情況下,我們無法直接在登錄對話框上以SYSTEM帳戶的身份登錄到Windows桌面環(huán)境。實際上SYSTEM帳戶早就已經(jīng)“盤踞”在系統(tǒng)中了。想想也是,連負(fù)責(zé)用戶驗證的Winlogon、Lsass等進(jìn)程都是以SYSTEM身份運(yùn)行的,誰還能有資格檢驗SYSTEM呢?既然SYSTEM帳戶早就已經(jīng)出現(xiàn)在系統(tǒng)中,所以只需以SYSTEM帳戶的身份啟動Windows的Shell程序Explorer,就相當(dāng)于用SYSTEM身份登錄Windows了。

以SYSTEM帳戶的身份啟動Explorer

打開命令提示符,輸入命令“taskkill /f /im explorer.exe” 并回車,這個命令是結(jié)束當(dāng)前賬戶explorer即圖形用戶界面的Shell。然后在命令提示符下繼續(xù)輸入“at time /interactive %systemroot%explorer.exe”并回車。其中“time”為當(dāng)前系統(tǒng)時間稍后的一個時間,比如間隔一秒,當(dāng)前系統(tǒng)時間可以在命令提示符下輸入“time”命令獲得。一秒鐘后會重新加載用戶配置,以SYSTEM身份啟動Windows的shell進(jìn)程Explorer.exe。

驗證exeplorer.exe是否以system權(quán)限運(yùn)行

如何知道exeplorer.exe是以system權(quán)限運(yùn)行呢?

通過“開始”菜單可以看到最上面顯示的是system賬戶。另外,打開注冊表編輯器,只要證明HKCU就是HKUS-1-5-18的鏈接就可以了(S-1-5-18就是SYSTEM帳戶的SID)。證明方法很簡單:在HKCU下隨便新建一個Test子項,然后刷新,再看看HKUS-1-5-18下是否同步出現(xiàn)了Test子項,如果是,就說明系統(tǒng)當(dāng)前加載的就是SYSTEM帳戶的用戶配置單元。當(dāng)然最簡單的是在命令提示符號下輸入命令“whoami”進(jìn)行驗證,如圖所示顯示為“NT AUTHORITYSYSTEM”這就證明當(dāng)前exeplorer.exe是System權(quán)限。

System權(quán)限的實際用處

System權(quán)限的Explorer.exe在實際中有什么用呢?下面筆者隨意列舉幾個使用實例。

(1).注冊表訪問

我們知道在非SYSTEM權(quán)限下,用戶是沒有權(quán)限訪問某些注冊表項的,比如“HKEY_LOCAL_MACHINESAM”、“HKEY_LOCAL_MACHINESECURITY”等。這些項記錄的是系統(tǒng)的核心數(shù)據(jù),某些病毒或者木馬會光顧這里。比如在SAM項目下建立具有管理員權(quán)限的隱藏賬戶,這樣的帳戶在命令及“本地用戶和組”管理器(lusrmgr.msc)中是無法看到的,造成了很大的安全隱患。在“SYSTEM”權(quán)限下,注冊表的訪問就沒有任何障礙,我們打開注冊表定位到“HKEY_LOCAL_MACHINESAMSAMDomainsAccount”項下所有的隱藏帳戶就都暴露了。

(2)訪問系統(tǒng)還原文件

系統(tǒng)還原是windows系統(tǒng)的一種自我保護(hù)措施,它在每個磁盤根目錄下建立“System Colume Information”文件夾,保存一些系統(tǒng)信息以備系統(tǒng)恢復(fù)是使用。該文件具有系統(tǒng)、隱藏屬性管理員用戶是沒有操作權(quán)限的。正因為如此,它成了病毒、木馬的棲身之地,我們就可以在System權(quán)限下進(jìn)入該文件夾刪除病毒。當(dāng)然,你也可以關(guān)閉“系統(tǒng)還原”預(yù)防此類病毒,但這樣未免顯得被動,有些因噎廢食。

(3)更換系統(tǒng)文件

Windows系統(tǒng)為系統(tǒng)文件做了保護(hù)機(jī)制,一般情況下你是不可能更換系統(tǒng)文件的,因為系統(tǒng)中都有系統(tǒng)文件的備份,它存在于c:WINDOWSsystem32dllcache(假設(shè)你的系統(tǒng)裝在C盤)。當(dāng)你更換了系統(tǒng)文件后,系統(tǒng)自動就會從這個目錄中恢復(fù)相應(yīng)的系統(tǒng)文件。當(dāng)目錄中沒有相應(yīng)的系統(tǒng)文件的時候會彈出提示讓你插入安裝盤。

在實際應(yīng)用中如果有時你需要Diy自己的系統(tǒng)修改一些系統(tǒng)文件,或者用高版本的系統(tǒng)文件更換低版本的系統(tǒng)文件,讓系統(tǒng)功能提升。比如Window XP系統(tǒng)只支持一個用戶遠(yuǎn)程登錄,如果你要讓它支持多用戶的遠(yuǎn)程登錄。要用Windows 2003的遠(yuǎn)程登錄文件替換Window XP的相應(yīng)文件。這在非SYSTEM權(quán)限下很難實現(xiàn),但是在SYSTEM權(quán)限下就可以很容易實現(xiàn)。

從Windows 2003的系統(tǒng)中提取termsrv.dll文件,用該文件替換Windows XP的C:WINDOWSsystem32下的同名文件。(對于Windows XP SP2還必須替換C:WINDOWS$NtServicePackUninstall$和C:WINDOWSServicePackFilesi386目錄下的同名文件)。再進(jìn)行相應(yīng)的系統(tǒng)設(shè)置即可讓W(xué)indows XP支持多用戶遠(yuǎn)程登錄。

(4)手工殺毒

用戶在使用電腦的過程中一般都是用Administrator或者其它的管理員用戶登錄的,中毒或者中馬后,病毒、木馬大都是以管理員權(quán)限運(yùn)行的。我們在系統(tǒng)中毒后一般都是用殺毒軟件來殺毒,如果殺軟癱瘓了,或者殺毒軟件只能查出來,但無法清除,這時候就只能赤膊上陣,手工殺毒了。

在Adinistrator權(quán)限下,如果手工查殺對于有些病毒無能為力,一般要啟動到安全模式下,有時就算到了安全模式下也無法清除干凈。如果以SYSTEM權(quán)限登錄,查殺病毒就容易得多。

以一次手工殺毒為例,(為了截圖在虛擬機(jī)上模擬了前段時間的一次手工殺毒。)打“Windows 任務(wù)管理器”,發(fā)現(xiàn)有個可疑進(jìn)程“86a01.exe”,在Administrator管理員下無法結(jié)束進(jìn)程,當(dāng)然更無法刪除在系統(tǒng)目錄下的病毒原文件“86a01.exe”。

以System權(quán)限登錄系統(tǒng),進(jìn)程被順利結(jié)束,然后刪除病毒原文件,清除注冊表中的相關(guān)選項,病毒被徹底清理出系統(tǒng)。

總結(jié)

System權(quán)限是比Administrator權(quán)限還高的系統(tǒng)最高權(quán)限,利用它可以完成很多常規(guī)情況下無法完成的任務(wù)。當(dāng)然,最大的權(quán)限也就意味著更大的危險,就好比手握“尚方寶劍”,可不要濫殺無辜呀!在使用過程中建議大家用“系統(tǒng)管理員權(quán)限”或者“一般用戶權(quán)限”,只有在特殊情況下才用System權(quán)限

標(biāo)簽:天門 六安 新余 株洲 黃石 南通 黔東 呼和浩特

巨人網(wǎng)絡(luò)通訊聲明:本文標(biāo)題《Windows系統(tǒng)下獲取SYSTEM權(quán)限設(shè)置的方法》,本文關(guān)鍵詞  ;如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問題,煩請?zhí)峁┫嚓P(guān)信息告之我們,我們將及時溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò),涉及言論、版權(quán)與本站無關(guān)。
  • 相關(guān)文章
  • 收縮
    • 微信客服
    • 微信二維碼

    • 電話咨詢

    • 400-1100-266