{"id":200077,"date":"2018-01-25T01:56:00","date_gmt":"2018-01-25T00:56:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=200077"},"modified":"2018-11-29T14:26:08","modified_gmt":"2018-11-29T13:26:08","slug":"windows-skurril-programmverhalten-abhngig-vom-namen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/01\/25\/windows-skurril-programmverhalten-abhngig-vom-namen\/","title":{"rendered":"Windows: UAC-Programmverhalten abhängig vom Namen"},"content":{"rendered":"

[English]Heute noch ein Blog-Beitrag aus der Mottenkiste 'Windows skurril'. Ist euch bekannt, dass der Name eines Programmes dessen Verhalten im Punkto Aufruf der Benutzerkontensteuerung beeinflussen kann? Ich wollte es kaum glauben \u2013 aber die Microsoft-Entwickler haben da in den Eingeweiden von Windows einige Balkone 'gestrickt' (neudeutsch als Heuristik bezeichnet), die manches zum Lotteriespiel macht. Ist zwar dokumentiert, aber imho wenig bekannt.<\/p>\n

<\/p>\n

Eine Leseranfrage zu einem seltsamen Verhalten<\/h2>\n

\"\"Vor einigen Tagen hat mich Blog-Leser Andreas T. per Mail kontaktiert, um mir von einem seltsamen Verhalten in Windows zu berichten. Er hatte eine Programmdatei umbenannt und pl\u00f6tzlich startete diese mit einer Abfrage der Benutzerkontensteuerung, um administrative Berechtigungen zu erlangen. Andreas schrieb mir:<\/p>\n

ich habe aktuell eine Frage zum Thema \"Windows\", bei der ich aus dem Verhalten des Systems nicht schlau werde:<\/p>\n

Ich habe das Spiel Quake2 installiert, zu dem die ausf\u00fchrbare Datei \"quake2.exe\" geh\u00f6rt.<\/p>\n

Wenn ich die Datei im Explorer mit Rechtsklick kopiere als \"quake2 – Kopie.exe\", wird die Datei ganz normal dargestellt und ist auch ausf\u00fchrbar, ohne da\u00df die Benutzerkontensteuerung aktiviert wird.<\/p>\n

\"Programmdateien\"<\/em><\/p><\/blockquote>\n

Benenne ich die Datei in \"quake2patched.exe\" um, wird die Datei mit einem Schild (siehe Screenshot) im Explorer dargestellt und ich erhalte beim Start eine Anfrage der Benutzerkontensteuerung.<\/p><\/blockquote>\n

Der obige Screenshot untermauert das Ganze. Andreas hat dann gepr\u00fcft, ob sich beim Kopieren was ge\u00e4ndert hat, aber ohne Erfolg. Dazu schreibt er:<\/p>\n

Die drei Dateien sind identisch.<\/p>\n

F:\\Quake II>fc \/b quake2.exe quake2patched.exe
\nVergleichen der Dateien quake2.exe und QUAKE2PATCHED.EXE
\nFC: Keine Unterschiede gefunden<\/p>\n

Benenne ich die \"quake2patched.exe\" um in z.B. \"quake2test.exe\" verschwindet das Schild-Symbol.<\/p>\n

Haben Sie eine logische Erkl\u00e4rung? Es scheint am Dateinamen zu h\u00e4ngen – aber warum?<\/p><\/blockquote>\n

Ich hatte ad hoc keine logische Erkl\u00e4rung f\u00fcr diesen Effekt, konnte aber auch nicht reagieren, da ich unterwegs war. Ein Kurztest, den ich mit dem Windows-Editor Notepad durchf\u00fchrte, ergab aber ein merkw\u00fcrdiges Bild. Wenn ich notepad.exe <\/em>mit administrativen Berechtigungen kopiere und dann in notepadpatched.exe <\/em>umbenenne, startet der Editor nicht mehr.<\/p>\n

Erkl\u00e4rung: Benutzerkontensteuerung in Vista<\/h2>\n

Das Ganze hat seine Urspr\u00fcnge wohl in Windows Vista, als Microsofts Programmierer die Benutzerkontensteuerung einf\u00fchrten. Programme, die administrative Berechtigungen erfordern, m\u00fcssen diese \u00fcber die Benutzerkontensteuerung anfordern. Eigentlich eine gute Sache.<\/p>\n

Geregelt wird die Anforderung \u00fcber ein Manifest, welches separat beiliegen kann, meist aber in der .exe-Datei enthalten ist. Dieses legt fest, ob das Programm administrative Berechtigungen braucht. Trifft dies zu, wird das Icon der Programmdatei mit dem stilisierte Schild versehen. Beim Aufruf erscheint dann auch die Benutzerkontensteuerungsabfrage.<\/p>\n

Der Benutzer kann zudem eine Verkn\u00fcpfung auf eine Programmdatei anlegen und dieser das Attribut Als Administrator ausf\u00fchren <\/em>zuweisen. Und es gibt die M\u00f6glichkeit, den Kontextmen\u00fcbefehl\u00a0 Als Administrator ausf\u00fchren<\/em> zum Programmstart zu verwenden. So weit so klar und alles in Ordnung.<\/p>\n

Heuristik, oder Balkon-Programmierung in Windows<\/h2>\n

Aber es gab ja jede Menge Alt-Programme die von diesem Mechanismus nichts wussten. Also finden die Microsoft-Entwickler mit 'Balkonprogrammierung' an \u2013 sprich: Verwendung von trickreichen Ans\u00e4tzen, um zu erkennen, dass ein Programm administrative Berechtigungen braucht. Und dann kommt so ein Mist wie oben erw\u00e4hnt bei heraus.<\/p>\n

Wird beispielsweise der Registrierungseditor Regedit.exe <\/em>unter einem Standard-Benutzerkonto aufgerufen, startet er mit normalen Berechtigungen. Unter einem Administratorkonto wird dagegen die Benutzerkontensteuerung aktiv und erm\u00f6glicht es, den Registrierungseditor mit administrativen Rechten auszuf\u00fchren. Der Start mit Als Administrator ausf\u00fchren <\/em>ist nicht mehr erforderlich.<\/p>\n

Beim explorer.exe <\/em>funktioniert das aber nicht, weil Windows intern die Ausf\u00fchrung mit administrativen Berechtigungen blockt \u2013 denn der Explorer ist ja auch f\u00fcr die Windows-Shell (Desktop etc.) zust\u00e4ndig. Ich hatte dies im Blog-Beitrag Explorer als Administrator ausf\u00fchren<\/a> mal thematisiert.<\/p>\n

Installer Detection: Die schmutzigen Seiten des Ganzen<\/h2>\n

Geht man im Internet mit den richtigen Begriffen auf die Suche, st\u00f6\u00dft man vermutlich auf diesen stackoverflow.com-Thread<\/a>. Dort erkl\u00e4rt jemand ein paar Winkelz\u00fcge, die bei 32-Bit-Programmdateien von Windows auftreten k\u00f6nnen. Microsoft hat dies 2006 f\u00fcr Windows Vista in diesem l\u00e4nglichen Dokument<\/a> (Understanding and Configuring User Account Control in Windows Vista) beschrieben. Im Abschnitt Installer Detection <\/em>legt man einige interne Tricks offen.<\/p>\n

Before a 32 bit process is created, the following attributes are checked to determine whether it is an installer:<\/p>\n