获取 TrustedInstaller 权限

TrustedInstaller 是从 Windows Vista 开始出现的一个内置安全主体，它的本体是“Windows Modules Installer”服务。在 Windows 中拥有修改系统文件权限，以一个用户组的形式出现。通常情况下，在使用 Windows Update 安装系统更新，开启关闭 Windows 功能时起非常重要的作用。
它的全名是：NT SERVICE\TrustedInstaller。从名字中我们不难发现，这其实是 NT 服务，并非一个实际存在的用户组。

Set-NtTokenPrivilege

通过 Set-NtTokenPrivilege 窃取 Trustedinstaller 的本体 Trustedinstaller.exe 的 Token，来创建其子进程。在开始之前我们需要保证你的 Powershell 版本为 5.0 以上（Windows 10 以上版本已经自带 Powershell 5.0 了，其他版本 Windows 需要进行更新）。

准备

1. 下载并安装 Set-NtTokenPrivilege 命令所需模块，在系统 C 盘根目录新建名为“token” 的文件夹。

2. 以管理员身份运行 Powershell，然后输入以下命令（其中 C:\token，为我们刚刚新建文件夹的路径）：

Save-Module -Name NtObjectManager -Path c:\token

• 第一次安装会出现询问，输入“Y”并回车

3. 正式安装。若出现不受信任的存储库，输入“A”并回车：

Install-Module -Name NtObjectManager

4. 让系统允许使用 Powershell 脚本，接着系统会显示执行策略更改，输入”A“并回车确认：

Set-ExecutionPolicy Unrestricted

5. 导入 NtObjectManager 模块

Import-Module NtObjectManager

6. 前期准备工作结束

正式开始

1. 正式获得 Trustedinstaller 权限，在 Powershell 中依次输入：

sc.exe start TrustedInstaller
Set-NtTokenPrivilege SeDebugPrivilege
$p = Get-NtProcess -Name TrustedInstaller.exe
$proc = New-Win32Process cmd.exe -CreationFlags NewConsole -ParentProcess $p

接下来系统会打开一个命令提示符，该命令提示符就具有 Trustedinstaller 权限，可以直接修改系统文件。我们可以通过：

whoami /groups /fo list

可以看到我们已经获得 Trustedinstaller 权限了，现在就可以通过一些命令修改系统文件了。如果想要更加方便操作，可以通过此 CMD 运行 taskmgr、notepad 等应用，在运行新任务、打开文件的浏览窗口下，进行文件编辑。编辑结束后直接关闭即可。

注意！不要使用 CMD 运行 explorer，因为 explorer 无法在当前用户下正常使用。在这之后如果，想要重新获得 Trustedinstaller 权限重新执行以下命令即可：

sc.exe start TrustedInstaller
Set-NtTokenPrivilege SeDebugPrivilege
$p = Get-NtProcess -Name TrustedInstaller.exe
$proc = New-Win32Process cmd.exe -CreationFlags NewConsole -ParentProcess $p

以上便是真正地获取 Trustedinstaller 权限的教程。当然，这个教程的意义，不局限于获得 Trustedinstaller 权限，其他的权限，也可以通过类似方法获得。

注册表获取

复制内容，保存为 reg 后缀，运行

Windows Registry Editor Version 5.00
 
[HKEY_CLASSES_ROOT\*\shell\runas]
@="TrustedInstaller Permission"
 
[HKEY_CLASSES_ROOT\*\shell\runas\command]
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
 
[HKEY_CLASSES_ROOT\Directory\shell\runas]
@="TrustedInstaller Permission"
"NoWorkingDirectory"=""
 
[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"

参考

1. [注册表] 一键获取TrustedInstaller权限用于修改权限或删除系统文件
2. Win10 / Win11 如何真正获取 Trustedinstaller 权限（非修改所有者及权限）