提升权限令牌

提权相关函数：

GetCurrentProcess() 介绍：

功能：检索当前进程的伪句柄。

函数原型：HANDLE GetCurrentProcess();

返回值：返回值是当前进程的伪句柄。

OpenProcessToken() 介绍：
功能：打开与进程相关联的访问令牌。

函数原型：BOOL WINAPI OpenProcessToken(

                  HANDLE  ProcessHandle,   // 要修改访问权限的进程句柄。
                  DWORD   DesiredAccess, // 指定你要进行的操作类型。
                  PHANDLE TokenHandle  // 返回的访问令牌的指针。
                  );

参数

DesiredAccess

常用值：

TOKEN_ADJUST_PRIVILEGES	TOKEN_ADJUST_GROUPS	TOKEN_ADJUST_DEFAULT	TOKEN_EXECUTE
TOKEN_QUERY	TOKEN_READ	TOKEN_WRITE	TOKEN_ALL_ACCESS

如要修改访问令牌的特权，我们要指定第二个参数为 TOKEN_ADJUST_PRIVILEGES

返回值：非零表示成功，零表示失败。

AdjustTokenPrivileges() 介绍：

功能：用于启用或禁止，指定访问令牌的特权。

函数原型：BOOL WINAPI AdjustTokenPrivileges(
                  HANDLE   TokenHandle,  // 要修改的权限的访问令牌的句柄。
                  BOOL  DisableAllPrivileges, // 指定函数是否禁用所有标记的权限。
                  PTOKEN_PRIVILEGES  NewState, // 指向 TOKEN_PRIVILEGES 结构的指针, 它指定特权数组及其属性。
                  DWORD  BufferLength, // 指定由 PreviousState 参数指向的缓冲区的大小 (以字节为单位)。
                  PTOKEN_PRIVILEGES  PreviousState, // 一个指向缓冲区的指针。
                  PDWORD  ReturnLength // 一个指针, 该变量接收 PreviousState 参数指向的缓冲区所需的大小 (以字节为单位)。
                  );

参数

TokenHandle

包含要修改的权限的访问令牌的句柄。句柄必须具有对令牌的 TOKEN_ADJUST_PRIVILEGES 访问权限。

如果 PreviousState 参数不是 NULL, 则句柄还必须具有 TOKEN_QUERY 访问权限。

DisableAllPrivileges

指定函数是否禁用所有标记的权限。如果此值为 TRUE, 则该函数将禁用所有权限并忽略 NewState 参数。

如果是 FALSE, 则该函数根据 NewState 参数指向的信息修改权限。

NewState

指向 TOKEN_PRIVILEGES 结构的指针, 它指定特权数组及其属性。

如果 DisableAllPrivileges 参数为 FALSE, 则 AdjustTokenPrivileges 函数启用、禁用或删除令牌的这些特权。

它的值有这三个：SE_PRIVILEGE_ENABLED，SE_PRIVILEGE_REMOVED，None

BufferLength

指定由 PreviousState 参数指向的缓冲区的大小 (以字节为单位)。如果 PreviousState 参数为 NULL, 则此参数可以为零。

PreviousState

一个指向缓冲区的指针, 该函数用包含该函数修改的任何特权的以前状态的 TOKEN_PRIVILEGES 结构填充。

即, 如果此函数修改了权限, 则该特权及其以前的状态将包含在 PreviousState 引用的 TOKEN_PRIVILEGES 结构中。

如果 TOKEN_PRIVILEGES 的 PrivilegeCount 成员为零, 则此函数不更改任何特权。此参数可以为 NULL。

ReturnLength

一个指针, 该变量接收 PreviousState 参数指向的缓冲区所需的大小 (以字节为单位)。

返回值：如果函数成功, 则返回值为非零。如果失败，则可以是：ERROR_SUCCESS，ERROR_NOT_ALL_ASSIGNED。

TOKEN_PRIVLEGES 结构体：

typedef struct _TOKEN_PRIVILEGES {
  DWORD               PrivilegeCount; // 这必须设置为权限数组中的项数。
  LUID_AND_ATTRIBUTES Privileges[ANYSIZE_ARRAY]; // ANYSIZE_ARRAY 宏定义为 1
  } TOKEN_PRIVILEGES, *PTOKEN_PRIVILEGES;

LUID_AND_ATTRIBUTES 结构体：

typedef struct _LUID_AND_ATTRIBUTES {
  LUID  Luid; 
  DWORD Attributes; // 指定 LUID 的属性。此值最多包含32个单比特标志。它的意思取决于 LUID 的定义和用途。
  } LUID_AND_ATTRIBUTES, *PLUID_AND_ATTRIBUTES;

属性	描述
SE_PRIVILEGE_ENABLED_BY_DEFAULT	特权默认启用
SE_PRIVILEGE_ENABLED	特权启用.
SE_PRIVILEGE_REMOVED	删除特权
SE_PRIVILEGE_USED_FOR_ACCESS	特权被用来访问一个对象或服务。 这个标志 被用于 标识有关特权，因为 通过一组客户端应用程序，可能包含不必要的特权

LUDI 结构体：

typedef struct _LUID {
  DWORD LowPart; // 低阶位。
  LONG  HighPart; // 高阶位。
  } LUID, *PLUID;

本地唯一标识符 (LUID) 是仅在生成它的系统上保证唯一的64位值。只有在系统重新启动之前, 才能保证 LUID 的唯一性。

LUID 不是直接操纵的。驱动程序必须使用支持例程和结构来操作 LUID 值。

若要获取与 LUID 关联的特权的名称, 请调用 LookupPrivilegeName()：

LookupPrivilegeName() 介绍：

功能：检索与指定的本地唯一标识符 (LUID) 在特定系统上表示的权限相对应的名称。

函数原型：BOOL LookupPrivilegeName(
                  LPCSTR  lpSystemName,  // 一个指针, 它指定检索特权名称的系统的名称。本地系统为 NULL。
                  PLUID   lpLuid, // 指向目标系统上已知权限的 LUID 的指针。
                  LPSTR   lpName, // 一个指向缓冲区的指针, 它接收表示特权名称的以 NULL 结尾的字符串。
                  LPDWORD cchName // 一个指针, 该变量指定 lpName 缓冲区的大小。
                  ); 

https://docs.microsoft.com/zh-cn/windows/desktop/SecAuthZ/privilege-constants

返回值：非零表示成功，零表示失败。

LookupPrivilegeValue() 介绍：

功能：查看系统权限的特权值，返回信息到一个LUID结构体里。

函数原型：BOOL LookupPrivilegeValue(
                  LPCSTR lpSystemName, // 一个指针, 它指定检索特权名称的系统的名称。本地系统为 NULL。
                  LPCSTR lpName, // 一个指针, 指定特权的名称.
                  PLUID  lpLuid // 一个指向一个变量的指针, 它接收到由 lpSystemName 参数指定的系统上已知权限的 LUID。
                   );

参数 lpName：

返回值：非零表示成功，零表示失败。

DEMOCODE：

BOOL PreProcess()
{
    HANDLE hToken;
    TOKEN_PRIVILEGES TKP;
    //PTOKEN_PRIVILEGES TKP = (PTOKEN_PRIVILEGES)malloc(sizeof(TOKEN_PRIVILEGES) + N * sizeof(LUID_AND_ATTRIBUTES));
    if (OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken) == 0)
    {
        return FALSE;
    }

    if (LookupPrivilegeValue(NULL, SE_SHUTDOWN_NAME, &TKP.Privileges->Luid) == 0)
    {
        return FALSE;
    }

/*    if (LookupPrivilegeValue(NULL, SE_SHUTDOWN_NAME, &TKP->Privileges[0].Luid) == 0 ||
          LookupPrivilegeValue(NULL, SE_SECURITY_NAME, &TKP->Privileges[1].Luid) == 0
          ......)
    {
        return FALSE;
    }
*/
    TKP.PrivilegeCount = 1;
    TKP.Privileges->Attributes = SE_PRIVILEGE_ENABLED;
/*    TKP->PrivilegeCount = N+1;
    for ( i = 0; i <= N; i++)
    {
        TKP->Privileges[i].Attributes = SE_PRIVILEGE_ENABLED;
    }
*/
    if (AdjustTokenPrivileges(hToken, FALSE, &TKP, 0, NULL, 0) == 0)
    {
        return FALSE;
    }
    CloseHandle(hToken);
    return TRUE;
}

BOOL ShutDown()
{
    if (ExitWindowsEx(EWX_SHUTDOWN | EWX_FORCE, 0) == 0)
        return FALSE;
    return TRUE;
}

步骤应该很清楚了......