根据我的理解,在登录期间,如果用户是Administrators组的一部分,那么lsass将创建一个具有剥离特权的中等IL过滤令牌,并将其附加到第一个用户进程。然后传播到用户创建的任何后续进程。
现在当这个用户以管理员身份运行时在某些事情上,Explorer会调用AppInfo服务,然后获得用户的同意(UAC)。如果用户输入"是",Appinfo将使用"High IL Elevated token"创建新流程。而欺骗它的父元素
我很好奇Appinfo是如何获得这个"高IL提升标记"的。有WinAPI吗?
我知道有一些api,如- CreateProcessWithLogonW或LogonUser,接受用户名和密码,创建一个进程或返回一个令牌,但这似乎不是这里的情况。
我相信它必须使用CreateProcessAsUser(它需要一个令牌作为输入),但我不确定它是如何从lsass检索令牌的。
TokenLinkedToken是有记录的方式。