Бит процесса администрирования в структуре Windows PE

Question

Допустим, у нас есть заполненные структуры PIMAGE_NT_HEADERS или PIMAGE_DOS_HEADER для любого данного изображения PE.Мой вопрос: какая переменная внутри любой из этих структур говорит нам, требует ли процесс выполнения привилегий администратора для выполнения (если у него есть небольшой защитный экран рядом со значком приложения)?Если ни того, ни другого, скажите, пожалуйста, как я могу это выяснить из набора структур PE (без использования API).

Answer 1

Эта информация не сохраняется в PE-заголовке приложения.

Повышение уровня контролируется Манифестом приложения , который обычно хранится в ресурсах приложения в RT_MANIFEST (тип 24) ресурс с идентификатором 1 (манифест также может быть сохранен как внешний файл в той же папке, что и приложение, хотя это встречается реже).

При запуске приложения требуются права администраторавключен, и манифест приложения имеет элемент <requestedExecutionLevel>, установленный на requireAdministrator.

Подробнее см. Как контроль учетных записей (UAC) влияет на ваше приложение .

Следующая блок-схема описывает, как ваше приложение будет работать в зависимости от того, включен ли UAC и имеет ли приложение манифест UAC