หน้าแรก>การเขียนโปรแกรมที่เกี่ยวข้อง>ซอร์สโค้ดอื่น ๆ
ดาวน์โหลด

ยูเอซีมี

  • การเอาชนะการควบคุมบัญชีผู้ใช้ Windows ด้วยการใช้ประตูหลัง Windows AutoElevate ในตัวในทางที่ผิด

ความต้องการของระบบ

  • x86-32/x64 Windows 7/8/8.1/10/11 (ไคลเอนต์ วิธีการบางอย่างก็ใช้ได้กับเวอร์ชันเซิร์ฟเวอร์ด้วย)
  • บัญชีผู้ดูแลระบบที่ตั้งค่า UAC เป็นการตั้งค่าเริ่มต้น

การใช้งาน

เรียกใช้ปฏิบัติการได้จากบรรทัดคำสั่ง: akagi32 [Key] [Param] หรือ akagi64 [Key] [Param] ดู "เรียกใช้ตัวอย่าง" ด้านล่างสำหรับข้อมูลเพิ่มเติม

พารามิเตอร์แรกคือจำนวนของวิธีการใช้ พารามิเตอร์ที่สองคือคำสั่งเผื่อเลือก (ชื่อไฟล์ปฏิบัติการรวมถึงพาธแบบเต็ม) ที่จะรัน พารามิเตอร์ที่สองสามารถเว้นว่างได้ - ในกรณีนี้โปรแกรมจะดำเนินการ cmd.exe ที่ยกระดับจากโฟลเดอร์ system32

หมายเหตุ : ตั้งแต่เวอร์ชัน 3.5.0 วิธีการ "แก้ไขแล้ว" ทั้งหมดถือว่าล้าสมัยและถูกลบออกไปพร้อมกับรหัส/หน่วยที่รองรับทั้งหมด หากคุณยังคงต้องการ - ใช้สาขา v3.2.x

คีย์ (คลิกเพื่อขยาย/ยุบ)
  1. ผู้เขียน: ลีโอ เดวิดสัน
    • ประเภท: Dll Hijack
    • วิธีการ: IFileOperation
    • เป้าหมาย: system32sysprepsysprep.exe
    • ส่วนประกอบ: cryptbase.dll
    • การใช้งาน: ucmStandardAutoElevation
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: Windows 8.1 (9600)
      • วิธี: sysprep.exe ทำให้องค์ประกอบรายการ LoadFrom แข็งขึ้น
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  2. ผู้แต่ง: อนุพันธ์ของลีโอ เดวิดสัน
    • ประเภท: Dll Hijack
    • วิธีการ: IFileOperation
    • เป้าหมาย: system32sysprepsysprep.exe
    • ส่วนประกอบ: ShCore.dll
    • การใช้งาน: ucmStandardAutoElevation
    • ใช้งานได้จาก: Windows 8.1 (9600)
    • แก้ไขใน: Windows 10 TP (> 9600)
      • วิธีการ: ผลข้างเคียงของ ShCore.dll ย้ายไปที่ KnownDlls
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  3. ผู้แต่ง: อนุพันธ์ของ Leo Davidson โดย WinNT/Pitou
    • ประเภท: Dll Hijack
    • วิธีการ: IFileOperation
    • เป้าหมาย: system32oobesetupsquare.exe
    • ส่วนประกอบ: WdsCore.dll
    • การใช้งาน: ucmStandardAutoElevation
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: Windows 10 TH2 (10558)
      • อย่างไร: ผลข้างเคียงของการออกแบบ OOBE ใหม่
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  4. ผู้แต่ง: จอน อีริคสัน, WinNT/Gootkit, mzH
    • ประเภท: AppCompat
    • วิธีการ: เปลี่ยนเส้นทาง EXE Shim
    • เป้าหมาย: system32cliconfg.exe
    • ส่วนประกอบ: -
    • การใช้งาน: ucmShimRedirectEXE
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: Windows 10 TP (> 9600)
      • วิธีการ: ลบการยกระดับอัตโนมัติ Sdbinst.exe, KB3045645/KB3048097 สำหรับ Windows เวอร์ชันที่เหลือ
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  5. ผู้เขียน: WinNT/Simda
    • ประเภท: อินเตอร์เฟส COM ระดับสูง
    • วิธีการ: ISecurityEditor
    • เป้าหมาย: รีจิสตรีคีย์ HKLM
    • ส่วนประกอบ: -
    • การใช้งาน: ucmSimdaTurnOffUac
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: Windows 10 TH1 (10147)
      • วิธีการ: วิธีการอินเทอร์เฟซ ISecurityEditor เปลี่ยนแปลงไป
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  6. ผู้เขียน: Win32/Carberp
    • ประเภท: Dll Hijack
    • วิธีการ: WUSA
    • เป้าหมาย: ehomemcx2prov.exe, system32migwizmigwiz.exe
    • ส่วนประกอบ: WdsCore.dll, CryptBase.dll, CryptSP.dll
    • การใช้งาน: ucmWusaMethod
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: Windows 10 TH1 (10147)
      • วิธี: ลบตัวเลือก WUSA /extract ออก
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  7. ผู้แต่ง: อนุพันธ์ Win32/Carberp
    • ประเภท: Dll Hijack
    • วิธีการ: WUSA
    • เป้าหมาย: system32cliconfg.exe
    • ส่วนประกอบ: ntwdblib.dll
    • การใช้งาน: ucmWusaMethod
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: Windows 10 TH1 (10147)
      • วิธีการ: ลบตัวเลือก WUSA /extract ออก
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  8. ผู้แต่ง: อนุพันธ์ของ Leo Davidson โดย Win32/Tilon
    • ประเภท: Dll Hijack
    • วิธีการ: IFileOperation
    • เป้าหมาย: system32sysprepsysprep.exe
    • ส่วนประกอบ: Actionqueue.dll
    • การใช้งาน: ucmStandardAutoElevation
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: Windows 8.1 (9600)
      • วิธี: sysprep.exe ทำให้รายการ LoadFrom แข็งขึ้น
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  9. ผู้แต่ง: Leo Davidson, WinNT/Simda, Win32/Carberp อนุพันธ์
    • ประเภท: Dll Hijack
    • วิธีการ: IFileOperation, ISecurityEditor, WUSA
    • เป้าหมาย: คีย์รีจิสทรี IFEO system32cliconfg.exe
    • ส่วนประกอบ: ผู้โจมตีกำหนด Application Verifier Dll
    • การใช้งาน: ucmAvrfMethod
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: Windows 10 TH1 (10147)
      • วิธีการ: ลบตัวเลือก WUSA /extract แล้ว วิธีการอินเทอร์เฟซ ISecurityEditor เปลี่ยนไป
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  10. ผู้แต่ง: WinNT/Pitou, Win32/Carberp อนุพันธ์
    • ประเภท: Dll Hijack
    • วิธีการ: IFileOperation, WUSA
    • เป้าหมาย: system32{ใหม่} หรือ {ที่มีอยู่}{autoelevated}.exe เช่น winsat.exe
    • ส่วนประกอบ: ผู้โจมตีกำหนด dll เช่น PowProf.dll, DevObj.dll
    • การใช้งาน: ucmWinSATMethod
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: Windows 10 TH2 (10548)
      • วิธีการ: AppInfo ยกระดับการควบคุมเส้นทางแอปพลิเคชันให้แข็งแกร่งขึ้น
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  11. ผู้แต่ง: จอน อีริคสัน, WinNT/Gootkit, mzH
    • ประเภท: AppCompat
    • วิธีการ: Shim Memory Patch
    • เป้าหมาย: system32iscsicli.exe
    • ส่วนประกอบ: ผู้โจมตีเตรียมเชลล์โค้ด
    • การใช้งาน: ucmShimPatch
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: Windows 8.1 (9600)
      • วิธีการ: ลบการยกระดับอัตโนมัติ Sdbinst.exe, KB3045645/KB3048097 สำหรับ Windows เวอร์ชันที่เหลือ
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  12. ผู้แต่ง: อนุพันธ์ของลีโอ เดวิดสัน
    • ประเภท: Dll Hijack
    • วิธีการ: IFileOperation
    • เป้าหมาย: system32sysprepsysprep.exe
    • ส่วนประกอบ: dbgcore.dll
    • การใช้งาน: ucmStandardAutoElevation
    • ใช้งานได้จาก: Windows 10 TH1 (10240)
    • แก้ไขใน: Windows 10 TH2 (10565)
      • วิธี: อัปเดตรายการ sysprep.exe
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  13. ผู้แต่ง: อนุพันธ์ของลีโอ เดวิดสัน
    • ประเภท: Dll Hijack
    • วิธีการ: IFileOperation
    • เป้าหมาย: system32mmc.exe EventVwr.msc
    • ส่วนประกอบ: elsext.dll
    • การใช้งาน: ucmMMCMethod
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: Windows 10 RS1 (14316)
      • วิธี: ลบการพึ่งพาที่หายไปแล้ว
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  14. ผู้แต่ง: Leo Davidson, อนุพันธ์ของ WinNT/Sirefef
    • ประเภท: Dll Hijack
    • วิธีการ: IFileOperation
    • เป้าหมาย: systemcredwiz.exe, system32wbemoobe.exe
    • ส่วนประกอบ: netutils.dll
    • การใช้งาน: ucmSirefefMethod
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: Windows 10 TH2 (10548)
      • วิธีการ: AppInfo ยกระดับการควบคุมเส้นทางแอปพลิเคชันให้แข็งแกร่งขึ้น
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  15. ผู้แต่ง: Leo Davidson, Win32/Adddrop, อนุพันธ์ของ Metasploit
    • ประเภท: Dll Hijack
    • วิธีการ: IFileOperation
    • เป้าหมาย: system32cliconfg.exe
    • ส่วนประกอบ: ntwdblib.dll
    • การใช้งาน: ucmGenericAutoelevation
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: Windows 10 RS1 (14316)
      • วิธี: ลบการยกระดับอัตโนมัติของ Cliconfg.exe
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  16. ผู้แต่ง: อนุพันธ์ของลีโอ เดวิดสัน
    • ประเภท: Dll Hijack
    • วิธีการ: IFileOperation
    • เป้าหมาย: system32GWXGWXUXWorker.exe, system32inetsrvinetmgr.exe
    • ส่วนประกอบ: SLC.dll
    • การใช้งาน: ucmGWX
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: Windows 10 RS1 (14316)
      • วิธีการ: AppInfo ยกระดับการควบคุมเส้นทางแอปพลิเคชันและการทำให้แข็งตัวของปฏิบัติการ inetmgr
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  17. ผู้แต่ง: อนุพันธ์ของลีโอ เดวิดสัน
    • ประเภท: Dll Hijack (การส่งต่อการนำเข้า)
    • วิธีการ: IFileOperation
    • เป้าหมาย: system32sysprepsysprep.exe
    • ส่วนประกอบ: unbcl.dll
    • การใช้งาน: ucmStandardAutoElevation2
    • ใช้งานได้จาก: Windows 8.1 (9600)
    • แก้ไขใน: Windows 10 RS1 (14371)
      • วิธี: อัปเดตรายการ sysprep.exe
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  18. ผู้แต่ง: อนุพันธ์ของลีโอ เดวิดสัน
    • ประเภท: Dll Hijack (รายการ)
    • วิธีการ: IFileOperation
    • เป้าหมาย: system32taskhost.exe, system32tzsync.exe (ms exe ใด ๆ ที่ไม่มีรายการ)
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmAutoElevateManifest
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: Windows 10 RS1 (14371)
      • วิธีการ: ตรวจสอบตรรกะการแยกวิเคราะห์อย่างชัดแจ้ง
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  19. ผู้แต่ง: อนุพันธ์ของลีโอ เดวิดสัน
    • ประเภท: Dll Hijack
    • วิธีการ: IFileOperation
    • เป้าหมาย: system32inetsrvinetmgr.exe
    • ส่วนประกอบ: MsCoree.dll
    • การใช้งาน: ucmInetMgrMethod
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: Windows 10 RS1 (14376)
      • วิธี: การแข็งรายการปฏิบัติการ inetmgr.exe, MitigationPolicy->ProcessImageLoadPolicy->PreferSystem32Images
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  20. ผู้แต่ง: อนุพันธ์ของลีโอ เดวิดสัน
    • ประเภท: Dll Hijack
    • วิธีการ: IFileOperation
    • เป้าหมาย: system32mmc.exe, Rsop.msc
    • ส่วนประกอบ: WbemComn.dll
    • การใช้งาน: ucmMMCMethod
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: Windows 10 RS3 (16232)
      • วิธีการ: Target ต้องการให้ wbemcomn.dll ลงนามโดย MS
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  21. ผู้แต่ง: อนุพันธ์ของลีโอ เดวิดสัน
    • ประเภท: Dll Hijack
    • วิธีการ: IFileOperation, SxS DotLocal
    • เป้าหมาย: system32sysprepsysprep.exe
    • ส่วนประกอบ: comctl32.dll
    • การใช้งาน: ucmSXSMethod
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: Windows 10 RS3 (16232)
      • วิธีการ: MitigationPolicy->ProcessImageLoadPolicy->PreferSystem32Images
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  22. ผู้แต่ง: อนุพันธ์ของลีโอ เดวิดสัน
    • ประเภท: Dll Hijack
    • วิธีการ: IFileOperation, SxS DotLocal
    • เป้าหมาย: system32consent.exe
    • ส่วนประกอบ: comctl32.dll
    • การใช้งาน: ucmSXSMethod
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: ไม่ได้แก้ไข ?
      • ยังไง: -
    • สถานะรหัส: เพิ่มใน v2.5.0
  23. ผู้แต่ง: อนุพันธ์ของลีโอ เดวิดสัน
    • ประเภท: Dll Hijack
    • วิธีการ: IFileOperation
    • เป้าหมาย: system32pkgmgr.exe
    • ส่วนประกอบ: DismCore.dll
    • การใช้งาน: ucmDismMethod
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: ไม่ได้แก้ไข ?
      • ยังไง: -
    • สถานะรหัส: เพิ่มใน v2.5.1
  24. ผู้เขียน: BreakingMalware
    • ประเภท: เชลล์ API
    • วิธีการ: การขยายตัวแปรสภาพแวดล้อม
    • เป้าหมาย: system32CompMgmtLauncher.exe
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmCometMethod
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: Windows 10 RS2 (15031)
      • วิธี: ลบการยกระดับอัตโนมัติ CompMgmtLauncher.exe
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  25. ผู้เขียน: Enigma0x3
    • ประเภท: เชลล์ API
    • วิธีการ: การจัดการคีย์รีจิสทรี
    • เป้าหมาย: system32EventVwr.exe, system32CompMgmtLauncher.exe
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmHijackShellCommandMethod
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: Windows 10 RS2 (15031)
      • วิธีการ: EventVwr.exe ออกแบบใหม่, การยกระดับอัตโนมัติของ CompMgmtLauncher.exe ถูกลบออก
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  26. ผู้เขียน: Enigma0x3
    • ประเภท: สภาพการแข่งขัน
    • วิธีการ: เขียนทับไฟล์
    • เป้าหมาย: %temp%GUIDdismhost.exe
    • ส่วนประกอบ: LogProvider.dll
    • การใช้งาน: ucmDiskCleanupRaceCondition
    • ใช้งานได้จาก: Windows 10 TH1 (10240)
    • รองรับการแจ้งเตือนเสมอ
    • แก้ไขใน: Windows 10 RS2 (15031)
      • วิธีการ: สิทธิ์การรักษาความปลอดภัยของไฟล์มีการเปลี่ยนแปลง
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  27. ผู้เขียน: ExpLife
    • ประเภท: อินเตอร์เฟส COM ระดับสูง
    • วิธีการ: IARPUninstallStringLauncher
    • เป้าหมาย: กำหนดผู้โจมตีแล้ว
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmUninstallLauncherMethod
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: Windows 10 RS3 (16199)
      • วิธีการ: อินเทอร์เฟซ UninstallStringLauncher ถูกลบออกจาก COMAutoApprovalList
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  28. ผู้แต่ง: Exploit/Sandworm
    • ประเภท: ส่วนประกอบที่อนุญาตพิเศษ
    • วิธีการ: InfDefaultInstall
    • เป้าหมาย: กำหนดผู้โจมตีแล้ว
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmSandwormMethod
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: Windows 8.1 (9600)
      • วิธี: ลบ InfDefaultInstall.exe ออกจาก g_lpAutoApproveEXEList (MS14-060)
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  29. ผู้เขียน: Enigma0x3
    • ประเภท: เชลล์ API
    • วิธีการ: การจัดการคีย์รีจิสทรี
    • เป้าหมาย: system32sdclt.exe
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmAppPathMethod
    • ใช้งานได้จาก: Windows 10 TH1 (10240)
    • แก้ไขใน: Windows 10 RS3 (16215)
      • วิธีการ: อัปเดต Shell API
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  30. ผู้แต่ง: อนุพันธ์ของลีโอ เดวิดสัน, lhc645
    • ประเภท: Dll Hijack
    • วิธีการ: ตัวบันทึก WOW64
    • เป้าหมาย: syswow64{exe ที่ยกระดับใด ๆ เช่น wusa.exe}
    • ส่วนประกอบ: wow64log.dll
    • การใช้งาน: ucmWow64LoggerMethod
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: ไม่ได้แก้ไข ?
      • ยังไง: -
    • สถานะรหัส: เพิ่มใน v2.7.0
  31. ผู้เขียน: Enigma0x3
    • ประเภท: เชลล์ API
    • วิธีการ: การจัดการคีย์รีจิสทรี
    • เป้าหมาย: system32sdclt.exe
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmSdcltIsolatedCommandMethod
    • ใช้งานได้จาก: Windows 10 TH1 (10240)
    • แก้ไขใน: Windows 10 RS4 (17025)
      • วิธี: อัปเดตส่วนประกอบ Shell API / Windows
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  32. ผู้เขียน: xi-tauw
    • ประเภท: Dll Hijack
    • วิธีการ: บายพาส UIPI ด้วยแอปพลิเคชัน uiAccess
    • เป้าหมาย: Program FilesWindows Media Playerosk.exe, system32EventVwr.exe, system32mmc.exe
    • ส่วนประกอบ: duuser.dll, osksupport.dll
    • การใช้งาน: ucmUiAccessMethod
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: ไม่ได้แก้ไข ?
      • ยังไง: -
    • สถานะรหัส: เพิ่มใน v2.7.1
  33. ผู้เขียน: winscripting.blog
    • ประเภท: เชลล์ API
    • วิธีการ: การจัดการคีย์รีจิสทรี
    • เป้าหมาย: system32fodhelper.exe
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmShellRegModMethod
    • ใช้งานได้จาก: Windows 10 TH1 (10240)
    • แก้ไขใน: ไม่ได้แก้ไข ?
      • ยังไง: -
    • สถานะรหัส: เพิ่มใน v2.7.2
  34. ผู้เขียน : เจมส์ ฟอร์ชอว์
    • ประเภท: เชลล์ API
    • วิธีการ: การขยายตัวแปรสภาพแวดล้อม
    • เป้าหมาย: system32svchost.exe ผ่าน system32schtasks.exe
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmDiskCleanupEnvironmentVariable
    • ใช้งานได้จาก: Windows 8.1 (9600)
    • รองรับการแจ้งเตือนเสมอ
    • แก้ไขใน: Windows 10 (แพตช์นินจาเงียบ น่าจะเป็นกระดานข่าวความปลอดภัยเดือนพฤษภาคม 2566)
      • วิธี: อัปเดตส่วนประกอบ Shell API / Windows
    • สถานะรหัส: เพิ่มใน v2.7.2
  35. ผู้เขียน: CIA และเจมส์ ฟอร์ชอว์
    • ประเภท: การเลียนแบบ
    • วิธีการ: การจัดการโทเค็น
    • เป้าหมาย: แอปพลิเคชันที่ได้รับการยกระดับอัตโนมัติ
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmTokenModification
    • ทำงานจาก: Windows 7 (7600)
    • รองรับ AlwaysNotify ดูหมายเหตุ
    • แก้ไขใน: Windows 10 RS5 (17686)
      • วิธี: ntoskrnl.exe->SeTokenCanImpersonate เพิ่มการตรวจสอบโทเค็นการเข้าถึงเพิ่มเติม
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  36. ผู้แต่ง: Thomas Vanhoutte หรือที่รู้จักในชื่อ SandboxEscaper
    • ประเภท: สภาพการแข่งขัน
    • วิธีการ: จุดแยกวิเคราะห์ NTFS & Dll Hijack
    • เป้าหมาย: wusa.exe, pkgmgr.exe
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmJunctionMethod
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: ไม่ได้แก้ไข ?
      • ยังไง: -
    • สถานะรหัส: เพิ่มใน v2.7.4
  37. ผู้แต่ง: เอร์เนสโต เฟอร์นันเดซ, โธมัส แวนเฮาท์
    • ประเภท: Dll Hijack
    • วิธีการ: SxS DotLocal, จุดแยกวิเคราะห์ NTFS
    • เป้าหมาย: system32dccw.exe
    • ส่วนประกอบ: GdiPlus.dll
    • การใช้งาน: ucmSXSDccwMethod
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: ไม่ได้แก้ไข ?
      • ยังไง: -
    • สถานะรหัส: เพิ่มใน v2.7.5
  38. ผู้เขียน : เคลมองต์ รูโอต์
    • ประเภท: ส่วนประกอบที่อนุญาตพิเศษ
    • วิธีการ: การปลอมแปลงบรรทัดคำสั่ง APPINFO
    • เป้าหมาย: system32mmc.exe
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmHakrilMethod
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: ไม่ได้แก้ไข ?
      • ยังไง: -
    • สถานะรหัส: เพิ่มใน v2.7.6
  39. ผู้เขียน : สเตฟาน กันทัค
    • ประเภท: Dll Hijack
    • วิธีการ: .NET Code Profiler
    • เป้าหมาย: system32mmc.exe
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmCorProfilerMethod
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: ไม่ได้แก้ไข ?
      • ยังไง: -
    • สถานะรหัส: เพิ่มใน v2.7.7
  40. ผู้เขียน : รูเบน บูเนน
    • ประเภท: COM Handler Hijack
    • วิธีการ: การจัดการคีย์รีจิสทรี
    • เป้าหมาย: system32mmc.exe, system32recdisc.exe
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmCOMHandlersMethod
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: Windows 10 19H1 (18362)
      • วิธีการ: ผลข้างเคียงของการเปลี่ยนแปลง Windows
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  41. ผู้เขียน : ออดวาร์ โม
    • ประเภท: อินเตอร์เฟส COM ระดับสูง
    • วิธีการ: ICMLuaUtil
    • เป้าหมาย: กำหนดผู้โจมตีแล้ว
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmCMLUaUtilShellExecMethod
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: ไม่ได้แก้ไข ?
      • ยังไง: -
    • สถานะรหัส: เพิ่มใน v2.7.9
  42. ผู้แต่ง: BreakingMalware และ Enigma0x3
    • ประเภท: อินเตอร์เฟส COM ระดับสูง
    • วิธีการ: IFwCplLua
    • เป้าหมาย: กำหนดผู้โจมตีแล้ว
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmFwCplLuaMethod
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: Windows 10 RS4 (17134)
      • วิธีการ: อัปเดต Shell API
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  43. ผู้แต่ง: อนุพันธ์ Oddvar Moe
    • ประเภท: อินเตอร์เฟส COM ระดับสูง
    • วิธีการ: IColorDataProxy, ICMLuaUtil
    • เป้าหมาย: กำหนดผู้โจมตีแล้ว
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmDccwCOMMethod
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: ไม่ได้แก้ไข ?
      • ยังไง: -
    • สถานะรหัส: เพิ่มใน v2.8.3
  44. ผู้แต่ง: bytecode77
    • ประเภท: เชลล์ API
    • วิธีการ: การขยายตัวแปรสภาพแวดล้อม
    • เป้าหมาย: กระบวนการยกระดับอัตโนมัติหลายกระบวนการ
    • ส่วนประกอบ: หลากหลายต่อเป้าหมาย
    • การใช้งาน: ucmVolatileEnvMethod
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: Windows 10 RS3 (16299)
      • วิธีการ: ตัวแปรไดเร็กทอรีระบบผู้ใช้ปัจจุบันถูกละเว้นระหว่างการสร้างกระบวนการ
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  45. ผู้แต่ง: bytecode77
    • ประเภท: เชลล์ API
    • วิธีการ: การจัดการคีย์รีจิสทรี
    • เป้าหมาย: system32slui.exe
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmSluiHijackMethod
    • ใช้งานได้จาก: Windows 8.1 (9600)
    • แก้ไขใน: Windows 10 20H1 (19041)
      • วิธีการ: ผลข้างเคียงของการเปลี่ยนแปลง Windows
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  46. ผู้เขียน: ไม่ระบุชื่อ
    • ประเภท: สภาพการแข่งขัน
    • วิธีการ: การจัดการคีย์รีจิสทรี
    • เป้าหมาย: system32BitlockerWizardElev.exe
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmBitlockerRCMethod
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: Windows 10 RS4 (>16299)
      • วิธีการ: อัปเดต Shell API
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  47. ผู้แต่ง: คลาโวยอตต์ และ 3gtudent
    • ประเภท: COM Handler Hijack
    • วิธีการ: การจัดการคีย์รีจิสทรี
    • เป้าหมาย: system32mmc.exe
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmCOMHandlersMethod2
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: Windows 10 19H1 (18362)
      • วิธีการ: ผลข้างเคียงของการเปลี่ยนแปลง Windows
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  48. ผู้เขียน: เดโรโกะ
    • ประเภท: อินเตอร์เฟส COM ระดับสูง
    • วิธีการ: ISPPLUAObject
    • เป้าหมาย: กำหนดผู้โจมตีแล้ว
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmSPPLUAObjectMethod
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: Windows 10 RS5 (17763)
      • วิธี: วิธีการอินเทอร์เฟซ ISPPLUAObject เปลี่ยนแปลงไป
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  49. ผู้เขียน : ริน น
    • ประเภท: อินเตอร์เฟส COM ระดับสูง
    • วิธีการ: ICreateNewLink
    • เป้าหมาย: system32TpmInit.exe
    • ส่วนประกอบ: WbemComn.dll
    • การใช้งาน: ucmCreateNewLinkMethod
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: Windows 10 RS1 (14393)
      • วิธีการ: ผลข้างเคียงของการแนะนำ allowance.exe COMAutoApprovalList
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  50. ผู้เขียน: ไม่ระบุชื่อ
    • ประเภท: อินเตอร์เฟส COM ระดับสูง
    • วิธีการ: IDateTimeStateWrite, ISPPLUAObject
    • เป้าหมาย: บริการ w32time
    • ส่วนประกอบ: w32time.dll
    • การใช้งาน: ucmDateTimeStateWriterMethod
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: Windows 10 RS5 (17763)
      • วิธีการ: ผลข้างเคียงของการเปลี่ยนแปลงอินเทอร์เฟซ ISPPLUAObject
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  51. ผู้แต่ง: อนุพันธ์ bytecode77
    • ประเภท: อินเตอร์เฟส COM ระดับสูง
    • วิธีการ: IAccessibilityCplAdmin
    • เป้าหมาย: system32rstrui.exe
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmAcCplAdminMethod
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: Windows 10 RS4 (17134)
      • วิธีการ: อัปเดต Shell API
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  52. ผู้เขียน: เดวิด เวลส์
    • ประเภท: ส่วนประกอบที่อนุญาตพิเศษ
    • วิธีการ: AipNormalizePath แยกวิเคราะห์การละเมิด
    • เป้าหมาย: กำหนดผู้โจมตีแล้ว
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmDirectoryMockMethod
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: ไม่ได้แก้ไข ?
      • ยังไง: -
    • สถานะรหัส: เพิ่มใน v3.0.4
  53. ผู้เขียน : เอเมริก นาซี
    • ประเภท: เชลล์ API
    • วิธีการ: การจัดการคีย์รีจิสทรี
    • เป้าหมาย: system32sdclt.exe
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmShellRegModMethod
    • ทำงานจาก: Windows 10 (14393)
    • แก้ไขใน: ไม่ได้แก้ไข ?
      • ยังไง: -
    • สถานะรหัส: เพิ่มใน v3.1.3
  54. ผู้เขียน: egre55
    • ประเภท: Dll Hijack
    • วิธีการ: การค้นหาเส้นทาง Dll ในทางที่ผิด
    • เป้าหมาย: syswow64SystemPropertiesAdvanced.exe และ SystemProperties*.exe อื่นๆ
    • ส่วนประกอบ: AppDataLocalMicrosoftWindowsAppssrrstr.dll
    • การใช้งาน: ucmEgre55Method
    • ทำงานจาก: Windows 10 (14393)
    • แก้ไขใน: Windows 10 19H1 (18362)
      • วิธี: SysDm.cpl!_CreateSystemRestorePage ได้รับการอัปเดตสำหรับการเรียกไลบรารีโหลดที่ปลอดภัย
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  55. ผู้เขียน : เจมส์ ฟอร์ชอว์
    • ประเภท: GUI แฮ็ค
    • วิธีการ: บายพาส UIPI พร้อมการแก้ไขโทเค็น
    • เป้าหมาย: system32osk.exe, system32msconfig.exe
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmTokenModUIAccessMethod
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: ไม่ได้แก้ไข ?
      • ยังไง: -
    • สถานะรหัส: เพิ่มใน v3.1.5
  56. ผู้เขียน: ฮาชิม จาวาด
    • ประเภท: เชลล์ API
    • วิธีการ: การจัดการคีย์รีจิสทรี
    • เป้าหมาย: system32WSReset.exe
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmShellRegModMethod2
    • ทำงานจาก: Windows 10 (17134)
    • แก้ไขใน: Windows 11 (22000)
      • วิธีการ: การออกแบบส่วนประกอบของ Windows ใหม่
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.7 ?
  57. ผู้แต่ง: อนุพันธ์ของ Leo Davidson โดย Win32/Gapz
    • ประเภท: Dll Hijack
    • วิธีการ: IFileOperation
    • เป้าหมาย: system32sysprepsysprep.exe
    • ส่วนประกอบ: unattend.dll
    • การใช้งาน: ucmStandardAutoElevation
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: Windows 8.1 (9600)
      • วิธี: sysprep.exe ทำให้องค์ประกอบรายการ LoadFrom แข็งขึ้น
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  58. ผู้เขียน : ริน น
    • ประเภท: อินเตอร์เฟส COM ระดับสูง
    • วิธีการ: IEditionUpgradeManager
    • เป้าหมาย: system32clipup.exe
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmEditionUpgradeManagerMethod
    • ทำงานจาก: Windows 10 (14393)
    • แก้ไขใน: ไม่ได้แก้ไข ?
      • ยังไง: -
    • สถานะรหัส: เพิ่มใน v3.2.0
  59. ผู้เขียน : เจมส์ ฟอร์ชอว์
    • ประเภท: AppInfo ALPC
    • วิธีการ: RAiLaunchAdminProcess และ DebugObject
    • เป้าหมาย: กำหนดผู้โจมตีแล้ว
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmDebugObjectMethod
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: ไม่ได้แก้ไข ?
      • ยังไง: -
    • สถานะรหัส: เพิ่มใน v3.2.3
  60. ผู้แต่ง: อนุพันธ์ Enigma0x3 โดย WinNT/Glupteba
    • ประเภท: เชลล์ API
    • วิธีการ: การจัดการคีย์รีจิสทรี
    • เป้าหมาย: system32CompMgmtLauncher.exe
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmGluptebaMethod
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: Windows 10 RS2 (15063)
      • วิธี: ลบการยกระดับอัตโนมัติ CompMgmtLauncher.exe
    • สถานะรหัส: ลบออกตั้งแต่ v3.5.0 ?
  61. ผู้แต่ง: อนุพันธ์ Enigma0x3/bytecode77 โดย Nassim Asrir
    • ประเภท: เชลล์ API
    • วิธีการ: การจัดการคีย์รีจิสทรี
    • เป้าหมาย: system32slui.exe, system32changepk.exe
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmShellRegModMethod
    • ทำงานจาก: Windows 10 (14393)
    • แก้ไขใน: ไม่ได้แก้ไข ?
      • ยังไง: -
    • สถานะรหัส: เพิ่มใน v3.2.5
  62. ผู้เขียน: winscripting.blog
    • ประเภท: เชลล์ API
    • วิธีการ: การจัดการคีย์รีจิสทรี
    • เป้าหมาย: system32computerdefaults.exe
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmShellRegModMethod
    • ทำงานจาก: Windows 10 RS4 (17134)
    • แก้ไขใน: ไม่ได้แก้ไข ?
      • ยังไง: -
    • สถานะรหัส: เพิ่มใน v3.2.6
  63. ผู้เขียน : อรัช อการัมปุระ
    • ประเภท: Dll Hijack
    • วิธีการ: ISecurityEditor
    • เป้าหมาย: องค์ประกอบแคชรูปภาพดั้งเดิม
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmNICPoisonMethod
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: ไม่ได้แก้ไข ?
      • ยังไง: -
    • สถานะรหัส: เพิ่มใน v3.2.7
  64. ผู้เขียน : อรัช อการัมปุระ
    • ประเภท: อินเตอร์เฟส COM ระดับสูง
    • วิธีการ: IIEAxiAdminInstaller, IIEAxiInstaller2, IFileOperation
    • เป้าหมาย: แคชการติดตั้งโปรแกรมเสริม IE
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmIeAddOnInstallMethod
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: ไม่ได้แก้ไข ?
      • ยังไง: -
    • สถานะรหัส: เพิ่มใน v3.5.1
  65. ผู้เขียน : อรัช อการัมปุระ
    • ประเภท: อินเตอร์เฟส COM ระดับสูง
    • วิธีการ: IWscAdmin
    • เป้าหมาย: การจี้โปรโตคอลเชลล์
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmWscActionProtocolMethod
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: Windows 11 24H2 (26100)
      • วิธีการ: ผลข้างเคียงของการเปลี่ยนแปลง Windows
    • สถานะรหัส: เพิ่มใน v3.5.2
  66. ผู้เขียน : อรัช อการัมปุระ
    • ประเภท: อินเตอร์เฟส COM ระดับสูง
    • วิธีการ: IFwCplLua, Shell Protocol Hijack
    • เป้าหมาย: รายการรีจิสทรีของโปรโตคอลเชลล์และตัวแปรสภาพแวดล้อม
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmFwCplLuaMethod2
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: Windows 11 24H2 (26100)
      • วิธีการ: ผลข้างเคียงของการเปลี่ยนแปลง Windows
    • สถานะรหัส: เพิ่มใน v3.5.3
  67. ผู้เขียน : อรัช อการัมปุระ
    • ประเภท: เชลล์ API
    • วิธีการ: จี้โปรโตคอลเชลล์
    • เป้าหมาย: system32fodhelper.exe
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmMsSettingsProtocolMethod
    • ใช้งานได้จาก: Windows 10 TH1 (10240)
    • แก้ไขใน: ไม่ได้แก้ไข ?
      • ยังไง: -
    • สถานะรหัส: เพิ่มใน v3.5.4
  68. ผู้เขียน : อรัช อการัมปุระ
    • ประเภท: เชลล์ API
    • วิธีการ: จี้โปรโตคอลเชลล์
    • เป้าหมาย: system32wsreset.exe
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmMsStoreProtocolMethod
    • ทำงานจาก: Windows 10 RS5 (17763)
    • แก้ไขใน: ไม่ได้แก้ไข ?
      • ยังไง: -
    • สถานะรหัส: เพิ่มใน v3.5.5
  69. ผู้เขียน : อรัช อการัมปุระ
    • ประเภท: เชลล์ API
    • วิธีการ: การขยายตัวแปรสภาพแวดล้อม, Dll Hijack
    • เป้าหมาย: system32taskhostw.exe
    • ส่วนประกอบ: pcadm.dll
    • การใช้งาน: ucmPcaMethod
    • ทำงานจาก: Windows 7 (7600)
    • รองรับการแจ้งเตือนเสมอ
    • แก้ไขใน: ไม่ได้แก้ไข ?
      • ยังไง: -
    • สถานะรหัส: เพิ่มใน v3.5.6
  70. ผู้เขียน: V3ded
    • ประเภท: เชลล์ API
    • วิธีการ: การจัดการคีย์รีจิสทรี
    • เป้าหมาย: system32fodhelper.exe, system32computerdefaults.exe
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmShellRegModMethod3
    • ทำงานจาก: Windows 10 (10240)
    • แก้ไขใน: ไม่ได้แก้ไข ?
      • ยังไง: -
    • สถานะรหัส: เพิ่มใน v3.5.7
  71. ผู้เขียน : อรัช อการัมปุระ
    • ประเภท: Dll Hijack
    • วิธีการ: ISecurityEditor
    • เป้าหมาย: องค์ประกอบแคชรูปภาพดั้งเดิม
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmNICPoisonMethod2
    • ทำงานจาก: Windows 7 RTM (7600)
    • แก้ไขใน: ไม่ได้แก้ไข ?
      • ยังไง: -
    • สถานะรหัส: เพิ่มใน v3.5.8
  72. ผู้เขียน : เอเมริก นาซี
    • ประเภท: Dll Hijack
    • วิธีการ: การค้นหาเส้นทาง Dll ในทางที่ผิด
    • เป้าหมาย: syswow64msdt.exe, system32sdiagnhost.exe
    • ส่วนประกอบ: BluetoothDiagnosticUtil.dll
    • การใช้งาน: ucmMsdtMethod
    • ทำงานจาก: Windows 10 (10240)
    • แก้ไขใน: ไม่ได้แก้ไข ?
      • ยังไง: -
    • สถานะรหัส: เพิ่มใน v3.5.9
  73. ผู้แต่ง: orange_8361 และ antonioCoco
    • ประเภท: เชลล์ API
    • วิธีการ: .NET deserialization
    • เป้าหมาย: system32mmc.exe EventVwr.msc
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmDotNetSerialMethod
    • ทำงานจาก: Windows 7 RTM (7600)
    • แก้ไขใน: ไม่ได้แก้ไข ?
      • ยังไง: -
    • สถานะรหัส: เพิ่มใน v3.6.0
  74. ผู้เขียน: zcgonvh
    • ประเภท: อินเตอร์เฟส COM ระดับสูง
    • วิธีการ: IElevatedFactoryServer
    • เป้าหมาย: กำหนดผู้โจมตีแล้ว
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmVFServerTaskSchedMethod
    • ใช้งานได้จาก: Windows 8.1 (9600)
    • แก้ไขใน: ไม่ได้แก้ไข ?
      • ยังไง: -
    • สถานะรหัส: เพิ่มใน v3.6.1
  75. ผู้แต่ง: อนุพันธ์ zcgonvh โดย Wh04m1001
    • ประเภท: อินเตอร์เฟส COM ระดับสูง
    • วิธีการ: IDiagnosticProfile
    • เป้าหมาย: กำหนดผู้โจมตีแล้ว
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmVFServerDiagProfileMethod
    • ทำงานจาก: Windows 7 RTM (7600)
    • แก้ไขใน: ไม่ได้แก้ไข ?
      • ยังไง: -
    • สถานะรหัส: เพิ่มใน v3.6.2
  76. ผู้เขียน : HackerHouse
    • ประเภท: Dll Hijack
    • วิธีการ: การค้นหาเส้นทาง Dll ในทางที่ผิด, การจัดการคีย์รีจิสทรี
    • เป้าหมาย: syswow64iscsicpl.exe
    • ส่วนประกอบ: iscsiex.dll
    • การใช้งาน: ucmIscsiCplMethod
    • ทำงานจาก: Windows 7 RTM (7600)
    • แก้ไขใน: ไม่ได้แก้ไข ?
      • ยังไง: -
    • สถานะรหัส: เพิ่มใน v3.6.3
  77. ผู้เขียน : อรัช อการัมปุระ
    • ประเภท: Dll Hijack
    • วิธีการ: IFileOperation
    • เป้าหมาย: system32mmc.exe
    • ส่วนประกอบ: atl.dll
    • การใช้งาน: ucmAtlHijackMethod
    • ทำงานจาก: Windows 7 RTM (7600)
    • แก้ไขใน: ไม่ได้แก้ไข ?
      • ยังไง: -
    • สถานะรหัส: เพิ่มใน v3.6.4
  78. ผู้เขียน: อันโตนิโอโคโค
    • ประเภท: การแอบอ้างบุคคลอื่น
    • วิธีการ: SSPI Datagram
    • เป้าหมาย: กำหนดผู้โจมตีแล้ว
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmSspiDatagramMethod
    • ทำงานจาก: Windows 7 RTM (7600)
    • รองรับการแจ้งเตือนเสมอ
    • แก้ไขใน: ไม่ได้แก้ไข ?
      • ยังไง: -
    • สถานะรหัส: เพิ่มใน v3.6.5
  79. ผู้เขียน: เจมส์ ฟอร์ชอว์ และสเตฟาน กันทัค
    • ประเภท: GUI แฮ็ค
    • วิธีการ: บายพาส UIPI พร้อมการแก้ไขโทเค็น
    • เป้าหมาย: system32osk.exe, system32mmc.exe
    • องค์ประกอบ: ผู้โจมตีถูกกำหนดไว้
    • การใช้งาน: ucmTokenModUIAccessMethod2
    • ทำงานจาก: Windows 7 (7600)
    • แก้ไขใน: ไม่ได้แก้ไข ?
      • ยังไง: -
    • สถานะรหัส: เพิ่มใน v3.6.6

บันทึก:

  • วิธีการ (30) (63) และนำมาใช้ในภายหลังในเวอร์ชัน x64 เท่านั้น
  • วิธีการ (30) ต้องใช้ x64 เนื่องจากใช้คุณลักษณะระบบย่อย WOW64 ในทางที่ผิด
  • วิธีการ (55) ไม่น่าเชื่อถือจริงๆ (เช่นเดียวกับการแฮ็ก GUI ใด ๆ ) และรวมไว้เพื่อความสนุกสนานเท่านั้น
  • วิธีการ (78) กำหนดให้รหัสผ่านบัญชีผู้ใช้ปัจจุบันต้องไม่เว้นว่าง

เรียกใช้ตัวอย่าง:

  • akagi32.exe23
  • akagi64.exe 61
  • akagi32 23 c:windowssystem32calc.exe
  • akagi64 61 c:windowssystem32charmap.exe

คำเตือน

  • เครื่องมือนี้แสดงเฉพาะวิธีการเลี่ยงผ่าน UAC ยอดนิยมที่ใช้โดยมัลแวร์ และนำวิธีการบางส่วนไปใช้ใหม่ในวิธีที่แตกต่างออกไปในการปรับปรุงแนวคิดดั้งเดิม มีวิธีการที่แตกต่างกันออกไปซึ่งยังไม่เป็นที่รู้จักของคนทั่วไป จงตระหนักถึงสิ่งนี้;
  • เครื่องมือนี้ไม่ได้มีไว้สำหรับการทดสอบ AV และไม่ได้ทดสอบให้ทำงานในสภาพแวดล้อม AV ที่ก้าวร้าว หากคุณยังคงวางแผนที่จะใช้กับ bloatware AV soft ที่ติดตั้งไว้ - ใช้งานด้วยความเสี่ยงของคุณเอง
  • AV บางตัวอาจตั้งค่าสถานะเครื่องมือนี้เป็น HackTool, MSE/WinDefender ทำเครื่องหมายว่าเป็นมัลแวร์อยู่ตลอดเวลา ไม่ใช่
  • หากคุณรันโปรแกรมนี้บนคอมพิวเตอร์จริง อย่าลืมลบโปรแกรมที่เหลือทั้งหมดหลังการใช้งาน สำหรับข้อมูลเพิ่มเติมเกี่ยวกับไฟล์ที่ฝากไว้ในโฟลเดอร์ระบบ โปรดดูซอร์สโค้ด
  • วิธีการส่วนใหญ่ที่สร้างขึ้นสำหรับ x64 โดยไม่มีการรองรับ x86-32 ฉันไม่เห็นเหตุผลใด ๆ เลยในการรองรับ Windows เวอร์ชัน 32 บิตหรือ wow64 อย่างไรก็ตาม ด้วยการปรับแต่งเล็กน้อย ส่วนใหญ่ก็จะทำงานภายใต้ wow64 เช่นกัน

หากคุณสงสัยว่าเหตุใดสิ่งนี้จึงยังคงอยู่และใช้งานได้ - นี่คือคำอธิบาย - Microsoft WHITEFLAG อย่างเป็นทางการ (รวมถึงข้อความที่ไร้ความสามารถโดยสิ้นเชิงเป็นโบนัส) https://devblogs.microsoft.com/oldnewthing/20160816-00/?p=94105

นโยบายการสนับสนุนและการทดสอบ Windows 10

  • UACMe ทดสอบเฉพาะกับเวอร์ชัน LSTB/LTSC (1607/1809) และเวอร์ชัน RTM-1 ล่าสุด เช่น หากเวอร์ชันปัจจุบันคือ 2004 จะได้รับการทดสอบในปี 2004 (19041) และเวอร์ชันก่อนหน้า 1909 (18363)
  • ไม่รองรับการสร้าง Insider เนื่องจากอาจมีการแก้ไขวิธีการที่นั่น

การป้องกัน

  • บัญชีที่ไม่มีสิทธิ์ผู้ดูแลระบบ

การใช้มัลแวร์

  • เราไม่รับผิดชอบต่อการใช้เครื่องมือนี้ในวัตถุประสงค์ที่เป็นอันตราย เป็นฟรี โอเพ่นซอร์ส และให้บริการ AS-IS สำหรับทุกคน

การใช้งานอื่นๆ

  • ปัจจุบันใช้เป็น "ลายเซ็น" โดยเครื่องสแกน "THOR APT" (รูปแบบทำด้วยมือที่ตรงกับซอฟต์แวร์หลอกลวงจากประเทศเยอรมนี) เราไม่รับผิดชอบต่อการใช้เครื่องมือนี้ในการฉ้อโกง
  • ที่เก็บ https://github.com/hfiref0x/UACME และเนื้อหาเป็นแหล่งของแท้เพียงแห่งเดียวสำหรับรหัส UACMe เราไม่มีส่วนเกี่ยวข้องกับลิงก์ภายนอกไปยังโปรเจ็กต์นี้ กล่าวถึงทุกที่ตลอดจนการแก้ไข (ทางแยก)
  • ในเดือนกรกฎาคม 2559 Cymmetria ที่เรียกว่า "บริษัทรักษาความปลอดภัย" เผยแพร่รายงานเกี่ยวกับชุดมัลแวร์สคริปต์ตัวเล็กที่เรียกว่า "Patchwork" และตั้งค่าสถานะเป็น APT พวกเขาระบุว่ากำลังใช้ "วิธี UACME" ซึ่งอันที่จริงแล้วเป็นเพียงการดัดแปลง injector dll เล็กน้อยและไม่เป็นมืออาชีพจาก UACMe v1.9 และใช้วิธีการไฮบริด Carberp/Pitou ในวิธีการติดตั้งมัลแวร์ด้วยตนเอง เราไม่รับผิดชอบต่อการใช้งาน UACMe ในแคมเปญโฆษณาที่น่าสงสัยจาก "บริษัทรักษาความปลอดภัย" บุคคลที่สาม

สร้าง

  • UACMe มาพร้อมกับซอร์สโค้ดแบบเต็ม เขียนด้วยภาษา C;
  • ในการสร้างจากแหล่งที่มาคุณต้องมี Microsoft Visual Studio 2019 และเวอร์ชันที่ใหม่กว่า

ไบนารีที่คอมไพล์แล้ว

  • ไม่มีให้ตั้งแต่ 2.8.9 และจะไม่มีให้อีกในอนาคต เหตุผล (และเหตุใดคุณจึงไม่ควรให้ข้อมูลเหล่านี้แก่บุคคลทั่วไปด้วย):
    • หากคุณดูโดยสรุปโปรเจ็กต์นี้ มันคือ HackTool แม้ว่าเป้าหมายแรกเริ่มคือการเป็นผู้สาธิตก็ตาม แน่นอนว่า AV หลายตัวตรวจพบว่าเป็น HackTool (เช่น MS WD) อย่างไรก็ตาม ผู้ป่วย VirusTotal ส่วนใหญ่จะตรวจพบว่าเป็น "มัลแวร์" ทั่วไป ซึ่งแน่นอนว่าไม่ถูกต้อง แต่น่าเสียดายที่ผู้เขียนมัลแวร์ขี้เกียจบางคนสุ่มสี่สุ่มห้าคัดลอกและวางโค้ดไปยัง crapware ของตน (หรือแม้แต่ใช้เครื่องมือนี้โดยตรงโดยตรง) ดังนั้น AV บางตัวจึงสร้างลายเซ็นตามส่วนของโค้ดโปรเจ็กต์
    • ด้วยการมอบไบนารีที่คอมไพล์แล้วให้กับทุกคน คุณทำให้ชีวิตของ script-kiddies ง่ายขึ้นมาก เพราะจำเป็นต้องคอมไพล์จากงานต้นฉบับซึ่งเป็นอุปสรรคที่สมบูรณ์แบบสำหรับ script-kiddies ที่โง่เขลาและ "button-clickers";
    • การมีไบนารีที่คอมไพล์แล้วในพื้นที่เก็บข้อมูลจะนำไปสู่การติดธงหน้าพื้นที่เก็บข้อมูลนี้ว่าเป็นอันตราย (เนื่องจากเหตุผลข้างต้น) โดยตัวกรองเนื้อหาต่างๆ (SmartScreen, Google Safe Browsing ฯลฯ)
  • การตัดสินใจครั้งนี้ถือเป็นที่สิ้นสุดและจะไม่มีการเปลี่ยนแปลง

คำแนะนำ

  • เลือก Platform ToolSet ก่อนสำหรับโปรเจ็กต์ในโซลูชันที่คุณต้องการสร้าง (โปรเจ็กต์->คุณสมบัติ->ทั่วไป):

    • v142 สำหรับ Visual Studio 2019;
    • v143 สำหรับ Visual Studio 2022

  • สำหรับ v140 และสูงกว่า ให้ตั้งค่าเวอร์ชันแพลตฟอร์มเป้าหมาย (โครงการ->คุณสมบัติ->ทั่วไป):

    • หากเป็น v140 ให้เลือก 8.1 (โปรดทราบว่าต้องติดตั้ง Windows 8.1 SDK)
    • หากเป็น v141 ขึ้นไป ให้เลือก 10

  • SDK ต่อไปนี้จำเป็นสำหรับการสร้างไบนารี:

    • Windows 8.1 หรือ Windows 10 SDK (ทดสอบกับเวอร์ชัน 19041)
    • NET Framework SDK (ทดสอบกับเวอร์ชัน 4.8)

  • วิธีสร้างไบนารี่ที่ใช้งานได้:

    • รวบรวมหน่วยเพย์โหลด
    • คอมไพล์โมดูล Naka
    • เข้ารหัสหน่วยเพย์โหลดทั้งหมดโดยใช้โมดูล Naka
    • สร้าง blobs ลับสำหรับหน่วยเหล่านี้โดยใช้โมดูล Naka
    • ย้ายหน่วยที่คอมไพล์แล้วและ blobs ลับไปยังไดเร็กทอรี AkagiBin
    • สร้างอาคางิขึ้นมาใหม่

อ้างอิง

  • รายการที่อนุญาตพิเศษของ Windows 7 UAC http://www.pretentiousname.com/misc/win7_uac_whitelist2.html
  • Shims ความเข้ากันได้ของแอปพลิเคชันที่เป็นอันตราย https://www.blackhat.com/docs/eu-15/materials/eu-15-Pierce-Defending-Against-Malicious-Application-Compatibility-Shims-wp.pdf
  • Junfeng Zhang จากบล็อกทีมนักพัฒนา WinSxS https://blogs.msdn.microsoft.com/junfeng/
  • นอกเหนือจากคีย์ Run ที่ดีแล้ว ชุดบทความ http://www.hexacorn.com/blog
  • KernelMode.Info เธรด UACMe https://www.kernelmode.info/forum/viewtopicf985.html?f=11&t=3643
  • การแทรกคำสั่ง/การยกระดับ - เยี่ยมชมตัวแปรสภาพแวดล้อมอีกครั้ง https://breakingmalware.com/vulnerabilities/command-injection-and-elevation-environment-variables-revisited
  • บายพาส UAC "ไร้ไฟล์" โดยใช้ eventvwr.exe และการแย่งชิงรีจิสทรี https://enigma0x3.net/2016/08/15/fileless-uac-bypass-using-eventvwr-exe-and-registry-hijacking/
  • ข้าม UAC บน Windows 10 โดยใช้ Disk Cleanup https://enigma0x3.net/2016/07/22/bypassing-uac-on-windows-10-using-disk-cleanup/
  • การใช้ IARPUNINSTALLSTRINGLAUNCHER COM อินเตอร์เฟสเพื่อข้าม UAC, http://www.freebuf.com/articles/system/116611.html
  • บายพาส UAC โดยใช้เส้นทางแอพ https://enigma0x3.net/2017/03/14/bypassing-uac-using-app-paths/
  • "Fileless" UAC Bypass โดยใช้ sdclt.exe, https://enigma0x3.net/2017/03/17/fileless-uac-bypass-using-sdclt-exe/
  • UAC บายพาสหรือเรื่องราวเกี่ยวกับการเพิ่มขึ้นสามครั้ง https://habrahabr.ru/company/pm/blog/328008/
  • การใช้ประโยชน์จากตัวแปรสภาพแวดล้อมในงานตามกำหนด
  • รายการแรก: ยินดีต้อนรับและไร้เดียงสา UAC Bypass, https://winscripting.blog/2017/05/12/first-entry-welcome-welcome-welcome-welcome-welcome-welcome-welcome-and-uac-bypass/
  • อ่านทางของคุณรอบ UAC ใน 3 ส่วน:
    1. https://tyranidslair.blogspot.ru/2017/05/reading-your-way-around-uac-part-1.html
    2. https://tyranidslair.blogspot.ru/2017/05/reading-your-way-around-uac-part-2.html
    3. https://tyranidslair.blogspot.ru/2017/05/reading-your-way-around-uac-part-3.html
  • วิจัยเกี่ยวกับ cmstp.exe, https://msitpros.com/?p=3960
  • UAC บายพาสผ่านแอปพลิเคชัน. NET ที่เพิ่มขึ้น https://offsec.provadys.com/uac-bypass-dotnet.html
  • UAC บายพาสโดยการเยาะเย้ยไดเรกทอรีที่เชื่อถือ
  • ยังบายพาส SDCLT UAC อื่น http://blog.sevagas.com/?yet-another-sdclt-uac-bypass
  • UAC บายพาสผ่าน SystemPropertiesadvanced.exe และ DLL Hijacking, https://egre55.github.io/system-properties-uac-bypass/
  • การเข้าถึงโทเค็นสำหรับ UIACCESS, https://tyranidslair.blogspot.com/2019/02/accessing-access-tokens-for-uiaccess.html
  • บายพาส UAC ที่ไร้เดียงสาใน Windows Store Binary, https://www.activecyber.us/1/post/2019/03/windows-uac-bypass.html
  • เรียกเซิร์ฟเวอร์ Windows RPC ในพื้นที่จาก. NET, https://googleprojectzero.blogspot.com/2019/12/calling-local-windows-rpc-servers-from.html
  • Microsoft Windows 10 UAC บายพาสการเพิ่มสิทธิ์ในการเพิ่มสิทธิ์ในการใช้ประโยชน์
  • UACME 3.5, WD และวิธีการบรรเทา, https://swapcontext.blogspot.com/2020/10/uacme-35-wd-and-ways-of-mitigation.html
  • UAC บายพาสจาก Comautoapprovallist, https://swapcontext.blogspot.com/2020/11/uac-bybybybybybypasses-from-comautoapprovallist.html
  • การใช้ตัวระบุโปรแกรม (progids) สำหรับการข้าม UAC, https://v3ded.github.io/redteam/Utilizing-programmatic-identifiers-progids-for-uac-bypasses
  • MSDT DLL จี้ UAC บายพาส, https://blog.sevagas.com/?msdt-dll-hijack-uac-bypass
  • UAC บายพาสผ่าน. NET Deserialization ช่องโหว่ใน Eventvwr.exe, https://twitter.com/orange_8361/status/1518970259868626944444
  • Playbook Task Task Task Advanced Windows - Part.2 จาก Com ไปยัง UAC Bypass และรับระบบโดยตรง http://www.zcgonvh.com/post/advanced_windows_task_scheduler_playbook-part.2_from_com_to_uac_bypass_and_get_get
  • การข้าม UAC ด้วยบริบท SSPI DataGram, https://splintercod3.blogspot.com/p/bypassing-uac-with-sspi-datagram.html
  • ลดการหาประโยชน์บางอย่างสำหรับWindows'® UAC, https://skanthak.hier-im-netz.de/uacamole.html

ผู้เขียน

(c) 2014 - 2024 โครงการ UACME

ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด