Windows Vista面世的時(shí)候,很多用戶都認(rèn)為它是最安全的操作系統(tǒng)。可是最近網(wǎng)絡(luò)中傳出一個(gè)可以在兩分鐘內(nèi)繞過Vista登錄權(quán)限，直接獲取最高權(quán)限的消息。難道Vista的權(quán)限屏障如此不堪一擊？是炒作還是確有其事?我們根據(jù)傳言的內(nèi)容進(jìn)行了驗(yàn)證。

輕松獲取Vista最高權(quán)限

傳言：首先在Vista上安裝另外一個(gè)操作系統(tǒng)，接著是把Vista分區(qū)的Windows/System32/cmd.exe改名為Utilman.Exe，重新登錄Vista后在登錄界面按下“Win+U”組合鍵就會(huì)出現(xiàn)命令行，輸入explorer就進(jìn)入了系統(tǒng)。

根據(jù)對(duì)此方法原理的分析，我們認(rèn)為使用WinPE盤也可以實(shí)現(xiàn)相應(yīng)的目的。首先將Vista系統(tǒng)System32目錄中的Utilman.Exe文件刪除，由于Vista系統(tǒng)特有的保護(hù)措施，這里我們使用了兩種刪除方法。

利用超級(jí)巡警推出的“文件暴力刪除工具”。運(yùn)行程序后點(diǎn)擊“添加文件”按鈕選擇Utilman.Exe，然后點(diǎn)擊“暴力刪除”按鈕就可以完成刪除操作(圖1)。第二是利用WinPE盤啟動(dòng)系統(tǒng)后，利用WinPE系統(tǒng)的資源管理器命令，找到Utilman.Exe文件并進(jìn)行刪除操作。

圖1

接著復(fù)制一個(gè)命令提示符文件(C:/Windows/system32文件夾中的CMD.exe)，將它直接在C:/Windows/System32目錄中改名為Utilman.exe。重新啟動(dòng)Vista系統(tǒng)。在出現(xiàn)Vista系統(tǒng)的登錄界面后，按下“Win+U”組合鍵就會(huì)出現(xiàn)命令提示符窗口(圖2)。

圖2

現(xiàn)在，在命令提示符窗口中中輸入explorer就可以進(jìn)入Vista系統(tǒng)，這個(gè)時(shí)候獲得的控制權(quán)限也是最高的。通過測(cè)試發(fā)現(xiàn)，此時(shí)我們可以直接控制菜單中的程序，打開各種文件，運(yùn)行各種程序，總之就和正常使用電腦差不多，唯一的區(qū)別就是不具備存儲(chǔ)權(quán)限，不能夠?qū)π薷暮蟮奈募M(jìn)行保存(圖3)。不過在命令提示符窗口，利用net user命令可以創(chuàng)建新的系統(tǒng)管理員賬戶，利用新的管理員賬戶就可以登錄到Vista桌面進(jìn)行一切操作。

圖3

漏洞原理分析

我們可以看到，整個(gè)操作之所以可以成功，是因?yàn)閁tilman.exe文件被替換。我們知道微軟的系統(tǒng)中，有很多幫助殘障人士進(jìn)行操作的功能，比如放大鏡、粘滯鍵、閱讀器等功能，而UtilMan.Exe正好就是這些輔助工具的管理器程序。

這些功能都能用專門的快捷鍵進(jìn)行激活，當(dāng)這些輔助功能的文件被替換后，Windows系統(tǒng)依然會(huì)按照默認(rèn)的設(shè)定激活指定的文件，因此替換后的文件就會(huì)被成功被激活。由于這些輔助功能在用戶未登錄前就可以調(diào)用，這就導(dǎo)致了用戶可以在登錄界面中繞過登錄密碼驗(yàn)證，成功登錄Vista系統(tǒng)。

漏洞防范臨時(shí)解決方法

我們應(yīng)該如何防范這個(gè)漏洞呢?此時(shí)，我們可以使用病毒常使用的映像劫持方法。直接將Utilman.exe文件進(jìn)行劫持。只要以后用戶使用到這個(gè)文件或者叫這個(gè)名字的文件都會(huì)運(yùn)行我們指定的程序。

映像劫持操作的方法有很多，為了照顧普通用戶的需要，我們可以從網(wǎng)上下載一款“Windows映像劫持利用程序”來進(jìn)行操作(注意，該程序會(huì)被殺毒軟件診斷為病毒)。程序運(yùn)行后，按照程序的提示輸入選項(xiàng)1，然后就可以根據(jù)向?qū)нM(jìn)行設(shè)置。

設(shè)置完成選項(xiàng)1以后，首先輸入需要劫持的文件名Utilman.Exe。接著輸入鏡像劫持的路徑，大家最好設(shè)置到一個(gè)無關(guān)緊要的軟件，我們這里設(shè)置的是記事本的路徑。最后回車就可以完成相應(yīng)的操作。

這樣以后當(dāng)用戶在再按下“Win+U”組合鍵，準(zhǔn)備啟動(dòng)名字叫Utilman.Exe文件的時(shí)候。系統(tǒng)就會(huì)根據(jù)映像劫持的設(shè)定，用劫持路徑的文件來代替Utilman.Exe文件啟動(dòng)。由于其它的程序沒有辦法加載explorer，因此也就無法登錄到系統(tǒng)的桌面。

總結(jié)

Vista系統(tǒng)的權(quán)限屏障被成功繞過，但是我們也看到Vista自身的安全措施，讓用戶在非法使用的過程中只能夠打開文件而不具備對(duì)文件的存儲(chǔ)權(quán)限。但是Vista系統(tǒng)老是出現(xiàn)這樣低級(jí)的漏洞，不禁讓用戶感到害怕。當(dāng)然，對(duì)于普通用戶來說，這個(gè)漏洞也不是完全沒有利用的價(jià)值。如果用戶自己在忘記密碼的時(shí)候，該方法不失為臨時(shí)解決方案。