深入探讨Vista的UAC功能 Norton UAC Tool原理剖析最近，工作上天天在和Symantec的企业级产品打交道，领导喜欢Symantec的产品。唉，没办法，单位里面用到的Symantec的产品有 Symantec Antivirus 10.2(现在要升级到Symantec Endpoints Protection 11，在小部分部门做测试)，Symantec Mail Security for SMTP和for Exchange，还有大名鼎鼎的Symantec Backup Exec for Windows Server 11d。所以对Symantec的部分产品使用也算小有心得，和Symantec support的工程师也交流了很多(罗嗦一句，Symantec的support比较有意思，是属于包年的，比如11d的Service是一年一买，然 后可以无限support，不过他们support电话的waiting那是相当的...)。
回到正题，虽然说不上爱屋及乌，但是看到网上出了个Norton UAC Tool，据说可以优化UAC，那干脆也试试看吧。
Norton UAC Tool官方页面：
http://www.nortonlabs.com/inthelab/uac.php
安装了一下，好像什么都没有变化，找个程序试试看，直接运行regedit.exe试试看嘛，果然，有动静。

很显然，提权的界面变掉了，比Vista自带的要好看一点，也要详细一点。
而资料介绍，这个工具所谓的优化，就是如果勾选了“Don't ask me again”，以后都不会看到著名的UAC对话框了，咱也勾个试试，果然以后运行注册表编辑器，直接提权到High级别。
知道了表面，自然要研究一下原理，先抄起Process Explorer看一下有无动静。
发现多了一个进程。

很显然，以前我们知道安全桌面的进程是consent.exe，盆盆很早就撰文介绍过，现在Symantec把这个进程给替换成他们的东西了，更加要关注的就是后面的参数，也就是图上显示出的xml文件。
打开这个xml看看有无什么玄机。

看到了注册表的路径，还有就是下面框选出来的东西，知道原理了吧，原来也是靠着标签作定义。
再运行一个其他程序，不勾选“Don't ask me again”看看，果然定义也变掉了。

但 是我在测试的时候也发现一个问题，就是这个xml是个昙花一现的东西，也就是说在运行regedit.exe之前，在C:\Windows\Temp \UAC_logs没有任何文件，当regedit.exe程序运行后，C:\Windows\Temp\UAC_logs也没有任何东西，xml文件会 被自动删除，用Process Monitor跟踪一下
symconsent会生成这个xml文件，然后设置为只读，最后删除，这一步很莫名啊，还望高手赐教。
我的猜测是:symconsent根据某一个定义的list(我并没有找到)生成xml文件，然后再根据xml文件中的标签定义作出进一步的判断。

不错不错学习

不错，新手学习，谢谢！！