一、问题背景与核心机制解析

在Windows操作系统中，UIPI（User Interface Privilege Isolation）是自Vista引入的一项安全特性，旨在防止低权限进程向高权限进程发送窗口消息，从而避免“Shatter Attack”类的权限提升漏洞。当开发者使用SendInput或keybd_event模拟键盘输入时，若目标进程以管理员权限运行（即完整性级别为High），而当前程序处于标准用户权限（Medium或更低），系统将自动拦截这些输入事件。

1.1 UIPI的工作原理

Windows通过完整性级别（Integrity Level）对进程进行分类，主要包括：

• Low
• Medium
• High
• System

UIPI规则规定：低完整性级别的进程不能向高完整性级别的进程发送 HWND 消息，包括键盘和鼠标相关的输入消息（如 WM_KEYDOWN）。虽然SendInput理论上注入的是硬件级输入，但其最终仍需通过桌面消息队列分发，因此受UIPI限制。

1.2 常见表现与错误诊断

二、技术分析路径

要解决此问题，必须理解输入模拟的本质路径。以下流程图展示了从API调用到内核处理的关键环节：

    INPUT input = {};
    input.type = INPUT_KEYBOARD;
    input.ki.wVk = VK_A;
    SendInput(1, &input, sizeof(INPUT));
    

2.1 为什么提升自身权限不是理想方案？

尽管以管理员身份运行可绕过UIPI，但这违背最小权限原则，并可能触发UAC提示，影响用户体验。此外，在企业环境中，普通用户可能无权启动高权限进程，导致自动化脚本失效。

三、可行的绕行策略与实现方式

3.1 使用LLMHF（Low-Level Mouse and Keyboard Hooks）间接注入

虽然直接发送输入受限，但注册低级钩子（WH_KEYBOARD_LL）可在内核回调上下文中操作，具备更高权限视角。然而，该方法无法直接“伪造”输入至特定高权限窗口，更多用于监听。

3.2 通过COM Elevated Object进行代理通信

设计一个注册为“Always Instigated”的COM组件，允许非特权客户端激活一个高权限代理对象，由该对象代为执行SendInput。这要求正确配置COM AppID与Launch Permission。

3.3 利用Windows Automation API（UIA）

UIA不依赖传统消息机制，而是通过专用接口控制UI元素，部分绕过UIPI。示例如下：

    #include <UIAutomation.h>
    IUIAutomation* pAutomation = nullptr;
    CoCreateInstance(CLSID_CUIAutomation, NULL, CLSCTX_INPROC_SERVER,
                     IID_PPV_ARGS(&pAutomation));

    // 查找目标按钮并调用InvokePattern
    IUIAutomationInvokePattern* pInvoke = nullptr;
    pButton->GetCurrentPatternAs(UIA_InvokePatternId, IID_PPV_ARGS(&pInvoke));
    pInvoke->Invoke(); // 安全且不受UIPI影响
    

3.4 借助辅助功能权限（SPI_SETSCREENREADER）

系统允许屏幕阅读器等辅助工具突破UIPI限制。可通过SystemParametersInfo(SPI_SETSCREENREADER)声明自身为辅助工具，从而获得输入豁免。

四、高级解决方案对比

五、实践建议与风险控制

5.1 推荐架构模式

采用“双进程模型”：一个普通权限前端负责逻辑判断，一个高权限后端服务（通过COM或命名管道通信）执行实际输入操作。该模型既满足安全要求，又保持功能完整性。

5.2 安全审计注意事项

• 避免滥用辅助功能权限，防止被杀毒软件误判为恶意行为
• 确保高权限组件具备严格的调用验证机制
• 日志记录所有敏感操作，便于追踪审计
• 遵循微软SDL规范，防止引入新的攻击面