Windows PE结构中的管理进程位

Question

假设我们为任何给定的PE映像填充了PIMAGE_NT_HEADERS或PIMAGE_DOS_HEADER结构。我的问题是，这些结构中的哪个变量告诉我们进程是否需要管理权限来执行(如果它在其应用程序图标旁边有一个小的安全屏蔽)？如果两者都没有，那么请告诉我如何从PE结构集合(不使用API)中找出这一点。

Answer 1

该信息不会存储在应用程序的PE头中。

海拔由申请清单控制，它通常存储在ID为1的RT_MANIFEST (类型为24)资源中的应用程序资源中(清单也可以作为外部文件存储在与应用程序相同的文件夹中，尽管这并不常见)。

如果启用了UAC，并且应用的清单将元素设置为requireAdministrator，则应用程序将需要管理员权限才能运行。

有关更多详细信息，请参阅用户帐户控制(UAC)对应用程序的影响。

下面的流程图描述应用程序将如何运行取决于是否启用了UAC和应用程序是否具有UAC清单。