如何将权限还原为trustinstaller
发布网友
发布时间:2022-04-25 16:31
共4个回答
热心网友
时间:2022-06-28 11:23
1、首先在文件夹右键菜单添加命令选项,点击开始,点击运行,输入notepad,点击确定;
2、打开记事本输入
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\*\shell\runas]
@="获取TrustedInstaller权限"
[HKEY_CLASSES_ROOT\*\shell\runas\command]
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
[HKEY_CLASSES_ROOT\Directory\shell\runas]
@="获取TrustedInstaller权限"
"NoWorkingDirectory"=""
[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
3、按ctrl+s保存,输入文件名1.reg,保存类型选择所有文件,点击保存;
4、双击1.reg,点击确定添加到注册表,重启;
5、右键该文件夹,点击获取TrustedInstaller权限,等待窗口自动关闭即可执行后续操作。
热心网友
时间:2022-06-28 11:23
在VISTA 和WINDOWS 7的NTFS驱动中,对直接写入磁盘分区做了*,RING3无法直接写入"受保护"的磁盘分区
你可以尝试诸如WINHEX之类的工具,他们将无法直接对系统分区的第16个分区开始,直到磁盘分区的可用数据长度为止的位置进行写入
诸如金山文件粉碎机、磁盘级感染蠕虫之类的东西,自然也GAME OVER了
不过由于放行了前16扇区,BootSector的磁盘感染还是可以的
NTFS并不是使用IO权限来对其进行*的,拥有高完整性Adminratrators权限的账户,可以以写权限打开NTFS卷,也可以对其调用NtWriteFile并产生IRP_MJ_WRITE的IRP,但是发送到NTFS的IRP DISPATCH后,会返回0xc0000022(STATUS_ACCESS_DENIED)
NTFS实际在NtfsWriteDispatch->NtfsCommonWrite中对其做了处理,这个函数很复杂,大约有将近2000行代码,大约在600行附近有这样的判断:
//检查如果是写入的IRP
if ( IrpMajorFunction == IRP_MJ_WRITE )
{
//检查当前卷是否被LOCK,VISTA下,如果卷的Vcb->CleanupCount > 预定值,或者已被mount上,是无法LOCK的
if ( !FlagOn(Vcb->VcbState & VCB_STATE_LOCKED)
//检查IoStackLocation的Flags是否有0x10,这个未在MSDN或WRK中有定义, 也许可以理解为SL_WRITE_THROUGH_DISK?
&& !(IrpStack->Flags & 0x10)
//检查是否在可用数据区域之内
&& WriteByteOffset_ >= 0
&& WriteByteOffsetHigh <= Scb ->ValidDataLengthHigh)
&& (WriteByteOffsetHigh < Scb ->ValidDataLengthHigh || WriteByteOffset < Scb->ValidDataLengthLow)
//检查是否在预留扇区之内(前16个扇区可写)
&& WriteEnd >16 * Vpb->BytesPreSector) )
{
NtfsPreWriteReturn(v28, v9, v185, v180);
v5 = 0xC0000022u;
//下面完成IRP,并返回错误,
//这里通常是调用FLTMGR的一个 Completion routine
}
可以看到如果卷不被LOCK,而且IoStackLocation又没有特定的标记,是不允许写入指定的范围的。
VISTA和WIN7下无法在线LOCK系统卷,因此在RING3下直接写入磁盘修改系统数据应该几乎不可能了
但若有驱动则简单了:直接给IoStackLocation设上标记即可
加上VISTA和WIN7下,系统文件即使SYSTEM或高Administrators账户也无法修改,仅有TrustInstaller账户可以修改。VISTA和WIN7下想在RING3下修改系统文件,是相当困难的
这一改动,应当是为了对抗PageFile/Hiber file attack所使用的,这一点blackhat上也有提及。
另外,对于直接写入物理磁盘(\Device\Harddisk0\DRX)以及使用SCSI/ATA/IDE PassThrough指令来写入磁盘的方式
VISTA和WIN7对Partmgr进行了一些修改,实现了强大而猥琐的函数:partmgr!PmRedirectRequest->(WorkItem)PmSplitAndRedirectWrite->(PmDiskRedirect / PmPartitionRedirect)等
这些函数最后会发送Internal device io control的IRP到volmgr.sys
调用volmgr!VmpRedirectRequest去查询这个请求是否允许(volmgr内部实现了一系列IO虚拟化函数),VmpRedirectRequest最终会调用VmpIsSafeForDirectWrites函数检查这个卷设备是否允许直接写入,如果不允许,则会给这个IRP设置拒绝。
对磁盘、分区的数据直接写入进行拦截,防止修改受保护的区域的磁盘数据。
由于RING3下无论是NtDeviceIoControl还是NtWriteFile,都要走IoGetRelatedDeviceObject/IoGetAttachedDeviceObject,所以Partmgr可以捕获到这些直接磁盘写入请求,并返回拒绝访问,因此想直接写物理磁盘或者pass through指令写入磁盘的,在RING3下也行不通找不到 TrustedInstaller 用户解决办法为了给 VISTA 瘦身, 不得已删除一些东西, 在删的时候, 由于权限问题, 需要将一些目录的所有者,由原来的 TrustedInstaller 改为自己的账户。删完了东西,为了防止出现未知的情况, 所以最好还是将目录的所有者,再恢复为 TrustedInstaller。但是,在恢复的时候, 却遇到一点小麻烦, 找不到 TrustedInstaller 这个用户, 后来经过尝试,终于解决了。在选择用户的时候, 手工输入 NT SERVICE\TrustedInstaller ,然后点击 “检查名称” 的按钮, 然后确定就OK了NTFS分区下Vista系统文件的删除方法
作者: Wendy整理, 出处:IT专家网, 责任编辑: niuyh, 2006-10-31 09:14
很多朋友都已经安装了Windows Vista.但是大家在“体验”完这个未来的操作系统后肯定会比较犯愁:怎么卸载啊?当试图删除Windows等文件夹时,系统会这么提示"无法删除,访问被拒绝"的报警信息。这是为什么呢
很多朋友都已经安装了Windows Vista.但是大家在“体验”完这个未来的操作系统后肯定会比较犯愁:怎么卸载啊?当试图删除Windows等文件夹时,系统会这么提示"无法删除,访问被拒绝"的报警信息。这是为什么呢?由于为了减少误删除重要系统文件的情况发生,Windows Vista对其系统文件夹(Windows文件夹、程序文件夹等)与其子文件(夹)都详细设置了访问权限。(这也是NTFS一个重要的特性之一)所以我们在其他的系统中试图删除文件夹时由于没有相应的权限,所以就会遭到访问拒绝。 稍有一些经验的朋友都知道,只要我们夺回这个文件夹的控制权,那么我们就可以删除它了。但是我们打开Program Files文件夹的属性中的高级选项卡,却发现什么都是灰色的,无法作任何设置,而且还有一个类似“S-1-5-32-563”的未知用户。下面,我向大家介绍一下怎么样删除这个文件夹。 1、 点击底部“特别权限或高级设置,请点击‘高级’”旁边的“高级”按钮,打开高级安全设置对话框。 2、 打开“所有者”标签。我们看到“目前该项目的所有者”就是刚才所提到的那个未知用户,这个用户也就是Windows Vista中的用户。根据NTFS的特性,如果当前计算机账户取得所有者,那么就可以更改对于该文件夹的权限。“将所有者更改为”下面列出了两个项目:一个是Administrators,代表本机的所有管理员账户;另一个是当前登录账户。在这里,我们选择Administrators,并选中“替换子容器及对象的所有者”复选框。(为什么要选中它?这个涉及到NTFS中权限的继承。平常,我们设置一个文件夹的权限时,其子文件夹也具备了相同的权限,但这只是通常情况。因为如果某一个子文件夹设定不继承父文件夹的权限,那么我们对父文件夹所作的更改,比如设定所有者的操作对这个子文件夹是不起作用的。而且,在Windows Vista 的系统文件夹中就包含许多这种自文件夹。)接下来,点击“应用”按钮,系统就会自动把设置应用到下属文件夹。 3、执行完操作后,我们发现属性中的安全选项卡仍然不能做出更改。但是我们关闭对话框并重新打开后,我们就可以做出权限上的设置了。在这里,我们删除那个未知用户,并赋予Administrators的完全控制权限,然后点击“应用”按钮。但是光这样做还不够。上面我们提到了,由于其下属子文件夹不继承父文件夹的权限设置,所以对于这些子文件夹,我们虽然是其所有者,但是没有任何权限。我们还是点击“高级”按钮。在“权限”选项卡中,与设置所有者相仿,选中“用在此显示的可以应用到子对象的项目替代所有资对象的权限项目”,并点击应用按钮。系统会提示我们是否继续,单击“是”,系统就会把权限设置应用到子文件夹中。完成后,点击“确定”关闭对话框后,Program Files文件夹就可以被删除掉了。 4、另外,在高级设置中“权限”选项卡中还有一项复选框:“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”。通过选中或反选该复选框就可设置该文件夹是否继承父文件夹的权限设置。 通过以上实例,大家都知道了如何卸载Windows Vista.我们不妨举一反三,在NTFS分区中,当我们遇到一个删除不掉的文件或文件夹时,如果确信该文件(夹)没有被使用时就应该遵循以下步骤: 1、确定是否拥有该文件(夹)的控制权限;2、如果无法设置权限,检查自己是否拥有足够的权限或为该文件(夹)的所有者;3、如果以上两条都具备仍无法删除,看看是不是子文件(夹)没有继承父文件夹的权限设置。
热心网友
时间:2022-06-28 11:24
TrustedInstaller是一个虚拟账户,比Administrator权限要大,但并非是最高权限账户,System才是。我想很多人想要把系统启动界面的“正在启动Windows”改成“Starting Windows”,这样似乎美更加美观、专业一些,这时就需要获得TrustedInstaller权限。
修改方法:
双击“启用TakeOwnership”,在C:\windows\system32\zh-cn\找到winload.exe.mui,并右键用“Take Ownership”运行,然后再将其删除(如下图)。这时就不会被TrustedInstaller账户阻止,再次启动系统时你就会看见久违的“Starting Windows”了!
热心网友
时间:2022-06-28 11:24
