ACL（Access Control List）：Windows 中所有资源都有 ACL ，这个列表决定了拥有何种权限的用户/进程能够这个资源。
在开启了 UAC 之后，如果用户是标准用户， Windows 会给用户分配一个标准 Access Token.
如果用户以管理员权限登陆，会生成两份访问令牌，一份是完整的管理员访问令牌（Full Access Token），一份是标准用户令牌。一般情况下会以标准用户权限启动 Explorer.exe 进程。如果用户同意，则赋予完整管理员权限访问令牌进行操作。

3. UAC 架构

这个UAC的基本框架如下：
在这里插入图片描述

4. 触发UAC

UAC需要授权的动作包括：

配置Windows Update
增加或删除用户账户
改变用户的账户类型
改变UAC设置
安装ActiveX
安装或移除程序
安装设备驱动程序
设置家长控制
将文件移动或复制到Program Files或Windows目录
查看其他用户文件夹

5. UAC 虚拟化

UAC 虚拟化（Virtualization）也被称为重定向（Data Redirection）。在权限判定的过程中，如果用户的权限没有达到程序所需的权限，UAC 就会重定向该文件夹。例如，如果程序试图写入到 C:\Program Files\Contoso\Settings.ini目录下，但用户没有写入权限，这个写操作就会被重定向至 C:\Users\Username\AppData\Local\VirtualStore\Program Files\contoso\settings.ini.
UAC 虚拟化分为两个部分，文件虚拟化和注册表虚拟化。

在这里插入图片描述

要注意的是，在以下情况下，虚拟化不可用：

64 位程序
非交互式程序
模拟令牌的进程 (Processes that impersonate)
内核模式调用方
带有 requestedExecutionLevel（请求执行等级）的可执行程序

5.1 文件虚拟化（File Virtualization）

在这里插入图片描述
Luafv.sys实现的是改变写入文件位置。

5.2 注册表虚拟化

在这里插入图片描述
Ntoskrnl.exe实现的是改变写入注册表位置。

6. UAC进程启动原理

我们在shell中双击一个程序，运行进程，都是通过ShellExecute来执行的，那么如果执行一个需要管理员权限的程序，那么就会弹出UAC安全保护框，那么这个过程是怎么样的呢？下面看下这个流程。

6.1 ShellExecuteExW的执行过程

执行堆栈如下

 # ChildEBP RetAddr  Args to Child              
00 001febb8 76ff6a04 752069dc 00000002 001fec0c ntdll!KiFastSystemCallRet
01 001febbc 752069dc 00000002 001fec0c 00000001 ntdll!NtWaitForMultipleObjects+0xc
02 001fec58 7641bc8e 001fec0c 001fec80 00000000 KERNELBASE!WaitForMultipleObjectsEx+0x100
03 001feca0 76ef62f9 00000002 7ffdd000 00000000 kernel32!WaitForMultipleObjectsExImplementation+0xe0
04 001fecf4 76ef37f7 00000024 001fedd0 ffffffff user32!RealMsgWaitForMultipleObjectsEx+0x13c
05 001fed10 7574eacc 00000001 001fedd0 00000000 user32!MsgWaitForMultipleObjects+0x1f
06 001fed64 7574ea55 001fedac ffffffff 00000000 shell32!AicpMsgWaitForCompletion+0x3c
07 001fed84 7574e927 001fedac 00000001 ffffffff shell32!AicpAsyncFinishCall+0x33
08 001ff0b4 7574e60f 004285a4 003d4c38 00000000 shell32!AicLaunchAdminProcess+0x39c
09 001ff1a8 75692bda 000701be 00000000 004285a4 shell32!_SHCreateProcess+0x331
0a 001ff1fc 756853c5 00000001 00426818 00000001 shell32!CExecuteApplication::_CreateProcess+0xfc
0b 001ff20c 75685379 00426818 00426820 00000001 shell32!CExecuteApplication::_TryCreateProcess+0x2e
0c 001ff21c 756847d1 00426820 00403170 001ff24c shell32!CExecuteApplication::_DoApplication+0x48
0d 001ff22c 7569f6b1 00426820 00403170 00426818 shell32!CExecuteApplication::Execute+0x33
0e 001ff24c 75684a1c 00426820 00401bfc 00403178 shell32!CExecuteAssociation::_DoCommand+0x88
0f 001ff270 7569f733 00000000 003e11a8 762d3472 shell32!CExecuteAssociation::_TryApplication+0x41
10 001ff290 75684b63 00403178 003d6248 003d6248 shell32!CExecuteAssociation::Execute+0x5f
11 001ff2bc 75692260 003e11a8 003d6248 001ff398 shell32!CShellExecute::_ExecuteAssoc+0x8c
12 001ff2d8 75686772 00000000 00008140 003d6248 shell32!CShellExecute::_DoExecute+0x89
13 001ff2ec 75691efa 001ff398 00008140 001ff398 shell32!CShellExecute::ExecuteNormal+0x8b
14 001ff300 75691e88 001ff398 0000003c 4a135260 shell32!ShellExecuteNormal+0x33
15 001ff318 4a12580f 001ff398 2aeaa614 003cc870 shell32!ShellExecuteExW+0x62