深入了解Windows Vista用户帐户控制

核心提示： 确定可执行文件所指定值的一种简单方法是使用 Sysinternals Sigcheck 实用工具查看其指令清单，如下所示：sigcheck –m 执行一个请求管理权限的映像将导致在服务主机进程 (%SystemRoot%System32Svchost .exe) 中运行的应用程

确定可执行文件所指定值的一种简单方法是使用 Sysinternals Sigcheck 实用工具查看其指令清单，如下所示：

sigcheck –m

执行一个请求管理权限的映像将导致在服务主机进程 (%SystemRoot%System32Svchost .exe) 中运行的应用程序信息服务(也称为 AIS，它包含在 %SystemRoot%System32Appinfo.dll 中)启动 Consent.exe (%SystemRoot%System32Consent.exe)。Consent 将捕获屏幕的位图、向其应用一个淡入淡出效果、切换到只能由本地系统帐户访问的桌面、将该位图作为背景、并显示一个提升对话框，其中包含有关该可执行文件的信息。在单独的桌面上显示可防止用户帐户中的任何恶意软件修改对话框的外观。

图 11 OTS 提升对话框

如果映像是由 Microsoft 数字签名的 Windows 组件，并且位于 Windows 系统目录中，则对话框顶部将显示一条蓝带，如图 11 顶部所示。灰带(对话框中间)表明映像由 Microsoft 以外的组织数字签名，橙色带(对话框底部)表明映像未经签名。提升对话框显示了映像的图标、描述以及数字签名映像的发布者，但对于未签名的映像只有一个通用的图标、文件名和“未能识别的发布程序”。这样就使恶意软件更难以模仿合法软件的外观。对话框底部的“详细信息”按钮展开后将显示当可执行文件启动时要传递给它的命令行。图 12 所示的“AAM 同意”对话框与此类似，但它不会提示提供管理员凭据，而是包含了“继续”和“取消”按钮。