윈 도 우 파일 이용권한

파워쉘로 그권한을 얻을수 있는 방법입니다.

명령어는 간단한 편인데, 디펜더가 차단을 할수 있어 차단해제를 거쳐야 해서 좀 길어요.

제가 적어준 순서대로 해보세요. 파워쉘[관리자]로 열고,

1. 레지값을 적용하고 재부팅하세요.

reg add 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System' /v FilterAdministratorToken /t REG_DWORD /d 0 /f
reg add 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System' /v ConsentPromptBehaviorAdmin /t REG_DWORD /d 0 /f
reg add 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System' /v ValidateAdminCodeSignatures /t REG_DWORD /d 0 /f
reg add 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System' /v EnableVirtualization /t REG_DWORD /d 1 /f

2. 그권한을 얻게해주는 파워쉘 모듈이란걸 설치할건데

정상설치가 되면 6번으로 바로 넘어가고,

만약 디펜더가 차단하면 3번부터 하세요.

Set-ExecutionPolicy Unrestricted -force
Install-module NtObjectManager -force -verbose
import-module NtObjectManager

3. 디펜더가 차단한 ID 숫자를 알아내서 차단해제를 할려는 목적입니다.

밑의 스샷에 빨간부분 숫자를 알아야 되는데, 그게 2번째에서 모듈설치를

차단한 ID 숫자입니다. 날짜를 보고 확인하세요.

Get-MPThreatDetection | Sort ThreatID -Unique | Sort InitialDetection | Select -Fir 4 | %{ $index=0 }{ [PSCustomObject] @{ Index="[ $index ]"; DetectionTime=$_.InitialDetectionTime; Executable=$_.ProcessName; DetectionDetails=$_.Resources; ThreatID=$_.ThreatID }; $Index++ } | FL

4. 저 숫자를 밑의 명령어에서 "여기" 라 적힌 부분만 지우고 입력하세요.

Add-MpPreference -ThreatIDDefaultAction_Actions @(6) -ThreatIDDefaultAction_Ids @(여기) -ExclusionPath 'C:\Windows\System32\WindowsPowershell\v1.0' -ExclusionProcess 'powershell.exe' -Verbose

5. 이제 다시 권한을 얻어줄 모듈을 설치합니다.

Install-module NtObjectManager -force -verbose
import-module NtObjectManager

6. 이제 TrustedInstaller( NT Authority\System ) 권한으로

새창이 열립니다.

Start-Service -Name TrustedInstaller
$parent = Get-NtProcess -ServiceName TrustedInstaller
$proc = New-Win32Process powershell.exe -CreationFlags NewConsole -ParentProcess $parent
$proc.Process.User

whoami 나 whoami /groups 를 치면 TrustedInstaller 권한이 있었다는게 표시됩니다.

그리고 이렇게 치면, hosts 파일을 그폴더에서 검색해 주소를 보여줍니다.

그러면 복사해 저렇게 편집기로 열어 편집하면 됩니다.

(gci c:\Windows\WinSxS -fil hosts* -rec -force -ea 0).FullName

YoungSS 는 이 사람 이네요

트러스트 원한 얻는다고

NtObjectManage 를 설치하고...

것도 설치 명령 포함 4줄이면 되던데 이렇게 힘들게 쓰는사람은 이 사람밖에 없죠

https://windowsforum.kr/lecture/18801306

쉽게 할려면 그냥 PE로 부트해서 바꾸고 오세요

system 계정이라면 어떤 파일이든 다 바꿀 수 있습니다

아니면 system 계정으로 실행하게 만들어주는 로더같은것도 있으니 그런걸 쓰셔도 됩니다

주의할점은 winsxs 건들면 차후 업데이트같은것 문제될 수 있습니다