最近,工作上天天在和Symantec的企业级产品打交道,领导喜欢Symantec的产品。唉,没办法,单位里面用到的Symantec的产品有 Symantec Antivirus 10.2(现在要升级到Symantec Endpoints Protection 11,在小部分部门做测试),Symantec Mail Security for SMTP和for Exchange,还有大名鼎鼎的Symantec Backup Exec for Windows Server 11d。所以对Symantec的部分产品使用也算小有心得,和Symantec support的工程师也交流了很多(罗嗦一句,Symantec的support比较有意思,是属于包年的,比如11d的Service是一年一买,然 后可以无限support,不过他们support电话的waiting那是相当的...)。
回到正题,虽然说不上爱屋及乌,但是看到网上出了个Norton UAC Tool,据说可以优化UAC,那干脆也试试看吧。
安装了一下,好像什么都没有变化,找个程序试试看,直接运行regedit.exe试试看嘛,果然,有动静。
很显然,提权的界面变掉了,比Vista自带的要好看一点,也要详细一点。
而资料介绍,这个工具所谓的优化,就是如果勾选了“Don't ask me again”,以后都不会看到著名的UAC对话框了,咱也勾个试试,果然以后运行注册表编辑器,直接提权到High级别。
知道了表面,自然要研究一下原理,先抄起Process Explorer看一下有无动静。
发现多了一个进程。
很显然,以前我们知道安全桌面的进程是consent.exe,盆盆很早就撰文介绍过,现在Symantec把这个进程给替换成他们的东西了,更加要关注的就是后面的参数,也就是图上显示出的xml文件。
打开这个xml看看有无什么玄机。
[NextPage]看到了注册表的路径,还有就是下面框选出来的东西,知道原理了吧,原来也是靠着标签作定义。
再运行一个其他程序,不勾选“Don't ask me again”看看,果然定义也变掉了。
但 是我在测试的时候也发现一个问题,就是这个xml是个昙花一现的东西,也就是说在运行regedit.exe之前,在C:\Windows\Temp \UAC_logs没有任何文件,当regedit.exe程序运行后,C:\Windows\Temp\UAC_logs也没有任何东西,xml文件会 被自动删除,用Process Monitor跟踪一下
symconsent会生成这个xml文件,然后设置为只读,最后删除,这一步很莫名啊,还望高手赐教。
我的猜测是:symconsent根据某一个定义的list(我并没有找到)生成xml文件,然后再根据xml文件中的标签定义作出进一步的判断。
有用
53
Copyright ©2018-2023 www.958358.com 粤ICP备19111771号-7 增值电信业务经营许可证 粤B2-20231006
