Win10 / Win11 如何真正獲取 Trustedinstaller 許可權(非修改所有者及許可權)
前言
常逛 IT 之家的朋友可能知道,自從 Windows Vista 以來,為了提升安全性,微軟對於許可權的把控越來越緊。為了對抗惡意軟體隨意修改系統檔案,Trustedinstaller 應運而生。TrustedInstaller 是從 Windows Vista 開始出現的一個內建安全主體,它的本體是 “Windows Modules Installer” 服務。在 Windows 中擁有修改系統檔案許可權,以一個使用者組的形式出現。通常情況下,在使用 Windows Update 安裝系統更新,開啟關閉 Windows 功能時起非常重要的作用。
擁有完全控制權限的 Trustedinstaller 使用者組
它的全名是:NT SERVICE\TrustedInstaller。從名字中我們不難發現,這其實是 NT 服務,並非一個實際存在的使用者組。
在本地使用者和組內無法找到 Trustedinstaller
那如果我是 DIY 玩家,又或者因為一些原因,想要修改某些系統功能,該如何操作呢?如今,網路上提供的方法,大部分都是修改檔案的所有者為系統管理員使用者,然後再對管理員使用者新增完全控制權限。
修改系統檔案所有者
這個方法雖然可以實現修改系統檔案,但是每次修改完成後,很多人都會忘記把許可權和所有權修改回來,留下安全隱患。而且如果需要修改某資料夾內的多個檔案時,除非將整個資料夾內的所有檔案一起修改,不然會很繁瑣。
還有一種獲得 Trustedinstaller 的方式是,通過互動式服務檢測,但是在最新的 Windows 11(Windows 10)中,這種方法已經失效了。
那在新的系統中又該如何獲得 Trustedinstaller 許可權呢?
其實我們還可以通過 Set-NtTokenPrivilege 竊取 Trustedinstaller 的本體 Trustedinstaller.exe 的 Token,來建立其子程序。在開始之前我們需要保證你的 Powershell 版本為 5.0 以上(Windows 10 以上版本已經自帶 Powershell 5.0 了,其他版本 Windows 需要進行更新)。
準備工作
首先,我們需要下載並安裝 Set-NtTokenPrivilege 命令所需模組,我們先在系統 C 盤根目錄新建名為 “token” 的資料夾。
接著,我們以管理員身份執行 Powershell,然後輸入(其中 C:\token,為我們剛剛新建資料夾的路徑):
Save-Module-NameNtObjectManager-Pathc:\token
並回車(第一次安裝會出現詢問,輸入 “Y” 並回車):
稍等片刻下載完成後,我們輸入:
Install-Module-NameNtObjectManager
並回車,正式安裝。若出現不受信任的儲存庫,輸入 “A” 並回車:
稍等片刻,等待安裝結束。結束後,我們需要讓系統允許使用 Powershell 指令碼,我們輸入:
Set-ExecutionPolicyUnrestricted
並回車。接著系統會顯示執行策略更改,我們輸入”A“並回車確認:
接著,我們匯入 NtObjectManager 模組,我們輸入:
Import-ModuleNtObjectManager
並回車。至此,我們前期準備工作結束:
正式開始
現在,我們開始正式獲得 Trustedinstaller 許可權。在 Powershell 中依次輸入:
sc.exestartTrustedInstallerSet-NtTokenPrivilegeSeDebugPrivilege$p=Get-NtProcess-NameTrustedInstaller.exe$proc=New-Win32Processcmd.exe-CreationFlagsNewConsole-ParentProcess$p
並回車。
接下來系統會開啟一個命令提示符,該命令提示符就具有 Trustedinstaller 許可權,可以直接修改系統檔案。我們可以通過:
whoami/groups/folist
進行測試:
可以看到我們已經獲得 Trustedinstaller 許可權了,現在就可以通過一些命令修改系統檔案了。如果想要更加方便操作,可以通過此 CMD 執行 taskmgr、notepad 等應用,在執行新任務、開啟檔案的瀏覽視窗下,進行檔案編輯。編輯結束後直接關閉即可。
注意!不要使用 CMD 執行 explorer,因為 explorer 無法在當前使用者下正常使用。在這之後如果,想要重新獲得 Trustedinstaller 許可權重新執行以下命令即可:
sc.exestartTrustedInstallerSet-NtTokenPrivilegeSeDebugPrivilege$p=Get-NtProcess-NameTrustedInstaller.exe$proc=New-Win32Processcmd.exe-CreationFlagsNewConsole-ParentProcess$p
以上便是真正地獲取 Trustedinstaller 許可權的教程。當然,這個教程的意義,不侷限於獲得 Trustedinstaller 許可權,其他的許可權,也可以通過類似方法獲得。筆者就曾經獲得過 DWM-1 的許可權,更多的作用歡迎大家在評論區或 IT 圈討論。
參考