consent.exe
es responsable de mostrar el cuadro de diálogo UAC. Observando los parámetros de la línea de comandos con Process Explorer, veo lo siguiente:
consent.exe 1316 748 000000004385BD60
Tengo
- lea ¿Cómo protege Windows el "seguro ¿Funciona el modo de escritorio? aquí en SE
- intentó convertir los números desde y hacia el hex para ver si coincide con algo
- lea el Artículo de Technet "Dentro del control de cuentas de usuario de Windows Vista" por Mark Russinovich
- ejecutó
consent.exe /?
(por si acaso, no esperaba nada) - se comprobó si uno de los números aparece en la salida de
!process 0 0
usando LiveKD . Si ese comando realmente lista todos los objetos del proceso, el proceso que se creará (el nombre del ejecutable que se muestra en el cuadro de diálogo de UAC) aún no existe. - Mirando el panel inferior "Manejar" del Explorador de procesos
- Buscar los valores en una sesión registrada por Monitor de proceso
- No pude capturar consent.exe en monitor API de Rohitab
Hasta ahora, solo he descubierto el primer número: es el ID de proceso (PID) del proceso principal, que en mi caso es svchost.exe
.
¿Cómo determina consent.exe
a partir de esa información de la línea de comandos cuál es la ruta del ejecutable que se iniciará?