A priori te diría que no se puede. Ahora, hay maneras de rodearlo y evitarlo.
Explicado de forma rápida: Lo que se llaman con un nombre tan rimbombante como Windows Resource Protection, se reduce en realidad a un problema de permisos. Con el núcleo de Windows NT 6.x en adelante, todos los archivos y carpetas pertenecientes al núcleo del sistema pertenecen, no al administrador, si no a un usuario llamado
TrustedInstaller. Este usuario (
NT SERVICE\TrustedInstaller) es un entorno de funcionamiento para el
Servicio de Instalador de Módulos de Windows, el cual, por definición, debe ser el único que puede acceder a modificar el núcleo. De esta manera, cualquier instalador que precise modificar cosas en las carpetas del sistema, puede seguir haciéndolo y tendrá permisos para ello.
NT AUTHORITY\SYSTEM y los
Administradores quedan así relegados a un poder de control muy alto pero no total, dado que tienen el peligro de poder ejecutar código malicioso.
https://technet.microsoft.com/es-es/mag ... 6.acl.aspxhttps://technet.microsoft.com/es-es/mag ... watch.aspxAhora bien, si disponemos de un grado de control a nivel de administrador sobre el equipo, nada nos impide realizar un escalado de privilegios para alcanzar al famoso
TrustedInstaller, incluso a través del
UAC. El proceso sería partir de un usuario con derechos de administrador para promocionar a
SYSTEM y de ahí acceder a
TrustedInstaller. Como
TrustedInstaller es un servicio y no un usuario al hecho, es necesario que los procesos que ejecutemos se adhieran al proceso de dicho servicio; de ahí que necesitemos promocionar a
SYSTEM, pues es el usuario encargado de lanzar servicios. Esta es quizás la forma más limpia de modificar algo en el núcleo sin requerir a una modificación desde fuera o a cepillarnos permisos; no obstante, bastante engorrosa.
http://vorck.com/windows/ntauth.htmlY aún hay más. A partir de Windows 8 (NT 6.2), se añade un nivel más de protección. Los procesos fundamentales del sistema realizan una serie de comprobación de firmas y permisos, de tal manera que, si hemos realizado alguna cagada con los permisos, el proceso en cuestión rehusará iniciar; llegando incluso a no iniciar Windows (pantalla negra antes del inicio de sesión) si el proceso es fundamental para el funcionamiento del sistema. Esto no sólo se aplica a
services.exe o
winlogon.exe, si no también a
explorer.exe, cualquier aplicación
ModernUI (
Metro) y no sé si también a las carpetas del contexto del usuario. Por ello, hay que andarse con mucho ojo cuando se modifican permisos; aunque sólo sea para ver el contenido de una carpeta.
Así que, como recomendación, si tienes que hacer alguna modificación en el núcleo, hazla siempre como
TrustedInstaller y tocando los permisos lo mínimo indispensable. Si tienes que acceder a otros contextos, enmascárate siempre como
Administrador,
SYSTEM o el usuario que convenga en ese momento. Yo mismo tengo hechas mis rutinas en batch para enmascarárme como
SYSTEM o
TrustedInstaller según me convenga, y, si todo falla, un WinPE para atacar desde fuera.
Espero haberme explicado bien. Es un poco lioso pero espero haberte ayudado.
![[mad]](/images/smilies/nuevos/miedo.gif "loco")
