这段时间在修改注册表的时候发现有些项无法删除,即使是Administrators组也只有只读权限。
无意中发现一篇文章提到可以用psexec.exe获得SYSTEM权限来删除Windows Update的计划任务项。由此启发,可以用SYSTEM权限启动regedit.exe,就可以删除了。
具体操作如下:
- 下载psexec.exe,这是微软官方的一个远程telnet小工具,类似Linux端的putty。下载后解压。
- 打开cmd,切换到刚才解压的目录
- 执行以下命令
打开计划任务:psexec.exe -i -s %windir%\system32\mmc.exe /s taskschd.msc
打开注册表:psexec.exe -i -s regedit.exe
打开资源管理器:psexec.exe -i -s explorer.exe稍有常识的人就会看出,-s 就是以SYSTEM账号来执行, 最骚气的就是利用这个远程工具来执行本地任务。 接下来就能为所欲为了。
不过稍微有点担心,恶意程序是不是也可以用这个方法获得SYSTEM权限?猜测只有Administrators组才能使用-s选项,有待验证。
补充:这篇文章提供了多种获取SYSTEM权限的方法,可供参考。
测试评论