Win10 / Win11 如何真正獲取 Trustedinstaller 權(quán)限（非修改所有者及權(quán)限）

前言

常逛 IT之家的朋友可能知道，自從 Windows Vista 以來(lái)，為了提升安全性，微軟對(duì)于權(quán)限的把控越來(lái)越緊。為了對(duì)抗惡意軟件隨意修改系統(tǒng)文件，Trustedinstaller 應(yīng)運(yùn)而生。TrustedInstaller 是從 Windows Vista 開(kāi)始出現(xiàn)的一個(gè)內(nèi)置安全主體，它的本體是“Windows Modules Installer”服務(wù)。在 Windows 中擁有修改系統(tǒng)文件權(quán)限，以一個(gè)用戶組的形式出現(xiàn)。通常情況下，在使用 Windows Update 安裝系統(tǒng)更新，開(kāi)啟關(guān)閉 Windows 功能時(shí)起非常重要的作用。

擁有完全控制權(quán)限的 Trustedinstaller 用戶組

它的全名是：NT SERVICE\TrustedInstaller。從名字中我們不難發(fā)現(xiàn)，這其實(shí)是 NT 服務(wù)，并非一個(gè)實(shí)際存在的用戶組。

在本地用戶和組內(nèi)無(wú)法找到 Trustedinstaller

那如果我是 DIY 玩家，又或者因?yàn)橐恍┰?，想要修改某些系統(tǒng)功能，該如何操作呢？如今，網(wǎng)絡(luò)上提供的方法，大部分都是修改文件的所有者為系統(tǒng)管理員用戶，然后再對(duì)管理員用戶添加完全控制權(quán)限。

修改系統(tǒng)文件所有者

這個(gè)方法雖然可以實(shí)現(xiàn)修改系統(tǒng)文件，但是每次修改完成后，很多人都會(huì)忘記把權(quán)限和所有權(quán)修改回來(lái)，留下安全隱患。而且如果需要修改某文件夾內(nèi)的多個(gè)文件時(shí)，除非將整個(gè)文件夾內(nèi)的所有文件一起修改，不然會(huì)很繁瑣。

還有一種獲得 Trustedinstaller 的方式是，通過(guò)交互式服務(wù)檢測(cè)，但是在最新的 Windows 11（Windows 10）中，這種方法已經(jīng)失效了。

那在新的系統(tǒng)中又該如何獲得 Trustedinstaller 權(quán)限呢？

其實(shí)我們還可以通過(guò) Set-NtTokenPrivilege 竊取 Trustedinstaller 的本體 Trustedinstaller.exe 的 Token，來(lái)創(chuàng)建其子進(jìn)程。在開(kāi)始之前我們需要保證你的 Powershell 版本為 5.0 以上（Windows 10 以上版本已經(jīng)自帶 Powershell 5.0 了，其他版本 Windows 需要進(jìn)行更新）。

準(zhǔn)備工作

首先，我們需要下載并安裝 Set-NtTokenPrivilege 命令所需模塊，我們先在系統(tǒng) C 盤(pán)根目錄新建名為“token”的文件夾。

接著，我們以管理員身份運(yùn)行 Powershell，然后輸入（其中 C:\token，為我們剛剛新建文件夾的路徑）：

Save-Module -Name NtObjectManager -Path c:\token

并回車（第一次安裝會(huì)出現(xiàn)詢問(wèn)，輸入“Y”并回車）：

稍等片刻下載完成后，我們輸入：

Install-Module -Name NtObjectManager

并回車，正式安裝。若出現(xiàn)不受信任的存儲(chǔ)庫(kù)，輸入“A”并回車：

稍等片刻，等待安裝結(jié)束。結(jié)束后，我們需要讓系統(tǒng)允許使用 Powershell 腳本，我們輸入：

Set-ExecutionPolicy Unrestricted

并回車。接著系統(tǒng)會(huì)顯示執(zhí)行策略更改，我們輸入”A“并回車確認(rèn)：

接著，我們導(dǎo)入 NtObjectManager 模塊，我們輸入：

Import-Module NtObjectManager

并回車。至此，我們前期準(zhǔn)備工作結(jié)束：

正式開(kāi)始

現(xiàn)在，我們開(kāi)始正式獲得 Trustedinstaller 權(quán)限。在 Powershell 中依次輸入：

sc.exe start TrustedInstallerSet-NtTokenPrivilege SeDebugPrivilege$p = Get-NtProcess -Name TrustedInstaller.exe$proc = New-Win32Process cmd.exe -CreationFlags NewConsole -ParentProcess $p

并回車。

接下來(lái)系統(tǒng)會(huì)打開(kāi)一個(gè)命令提示符，該命令提示符就具有 Trustedinstaller 權(quán)限，可以直接修改系統(tǒng)文件。我們可以通過(guò)：

whoami /groups /fo list

進(jìn)行測(cè)試：

可以看到我們已經(jīng)獲得 Trustedinstaller 權(quán)限了，現(xiàn)在就可以通過(guò)一些命令修改系統(tǒng)文件了。如果想要更加方便操作，可以通過(guò)此 CMD 運(yùn)行 taskmgr、notepad 等應(yīng)用，在運(yùn)行新任務(wù)、打開(kāi)文件的瀏覽窗口下，進(jìn)行文件編輯。編輯結(jié)束后直接關(guān)閉即可。

注意！不要使用 CMD 運(yùn)行 explorer，因?yàn)?explorer 無(wú)法在當(dāng)前用戶下正常使用。在這之后如果，想要重新獲得 Trustedinstaller 權(quán)限重新執(zhí)行以下命令即可：

sc.exe start TrustedInstallerSet-NtTokenPrivilege SeDebugPrivilege$p = Get-NtProcess -Name TrustedInstaller.exe$proc = New-Win32Process cmd.exe -CreationFlags NewConsole -ParentProcess $p

以上便是真正地獲取 Trustedinstaller 權(quán)限的教程。當(dāng)然，這個(gè)教程的意義，不局限于獲得 Trustedinstaller 權(quán)限，其他的權(quán)限，也可以通過(guò)類似方法獲得。筆者就曾經(jīng)獲得過(guò) DWM-1 的權(quán)限，更多的作用歡迎大家在評(píng)論區(qū)或 IT 圈討論。

參考

• The Art of Becoming TrustedInstaller

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。