SYSTEM帐户启动的实质

其实不管用哪种方法，其本质都一样。都是利用SYSTEM登录会话里已有的某个进程A，帮助我们创建一个进程B，进程B会自然而然地运行在SYSTEM登录会话里-从而具有SYSTEM权限。

这里提到登录会话（Logon Session）的概念，这个概念比较抽象，甚至连MSDN里都有点语焉不详。这里我们且不去管它（将会在后续的文章里给大家细述这个抽象概念）。只需要了解：登录会话用来代表特定的安全主体，代表该安全主体的一次登录实例。

每个进程，都必须运行在特定的登录会话里。这里就有一个问题，在用户登录之前，Windows系统里已经运行了一些进程，这些进程显然也应该运行在登录会话里，这就是所谓的SYSTEM登录会话，它所代表的安全主体就是SYSTEM帐户。

在Windows的安全机制里，特定登录会话里的某个进程所启动的其他进程，也会运行在该登录会话里，从而继承安全上下文。

《以System帐户身份运行应用程序的三种办法》这篇文章所描述的方法，都是运用这种原理。例如借助At命令以SYSTEM帐户身份启动进程，实际上是由Task Scheduler服务启动的，而Task Scheduler服务所在的进程svchost正是运行在SYSTEM登录会话，如附图所示。

图中所示的Task Scheduler服务的进程svchost所在的登录会话ID（Logon Session ID）是0x0-3e7，这就是代表SYSTEM登录会话。

用Psexec命令，道理也一样，实际上启动进程的是PsexecSvc服务，该服务的进程运行在SYSTEM登录会话。

如何让用户能够看到SYSTEM下的进程？

在Windows 2000/XP下，这个不是什么问题。然而在Windows Vista下问题就来了。如果企图用AT命令启动某个Local SYSTEM进程，就会警告说不能和用户进行交互，哪怕加上/Interactive参数也不行！

原来在Windows Vista下，存在一个会话0隔离的问题。而AT命令所对应的Task Scheduler服务运行在会话0，而会话0是不能和用户进行交互的。

盆盆评注：这里要注意，会话和登录会话，是两码事。具体的介绍，敬请期待后续的文章。

原来在会话0里，并没有WinSta0这个窗口站。天哪，又来了一个窗口站的概念，嗯，先不用管它，这里只需理解，窗口站用来保护进程的用户界面。只有WinSta0这个特殊的窗口站才可以接受用户的鼠标、键盘事件，才能和用户进行交互。

在Windows系统里，如果没有特别指定，SYSTEM登录会话里的进程，将会默认运行在Service-0X0-3E7$窗口站里，所以无法和用户进行交互。

所以很显然，要让以SYSTEM权限运行的进程，能够和用户进行交互，必须满足以下条件：

1. 必须不能运行在会话0下，例如可以运行在当前用户所在的会话下（例如会话1、2等）

2. 该SYSTEM进程必须运行在WinSta0窗口站。

对于开发人员来说，推荐参考Leo Jiang朋友的Blog文章，以便了解如何通过编程的方法，创建运行在WinSta0里的Local SYSTEM进程。

而对于IT Pro来说，我们可以借助Mark Russinovich所写的Psexec工具，让任意指定的进程运行在SYSTEM权限下。

而对于Windows Vista来说，其实有好些Local SYSTEM进程本身运行在WinSta0下（非会话0），例如Winlogon进程、某个csrss进程，还有我们大家很熟悉的UAC提示对话框（consent进程），都运行在SYSTEM下，但是可以和用户进行交互。

标签：