Windows UIPI机制与跨进程通信解决方案

长沮

1. Windows UIPI机制与跨进程通信挑战

在Windows NT6.0及更高版本系统中，微软引入了用户界面特权隔离(UIPI)机制作为重要的安全防护措施。这个机制的核心目的是防止低权限进程向高权限进程发送窗口消息或调用USER API，从而有效遏制权限提升攻击。想象一下，如果恶意软件能够随意向管理员权限的进程注入指令，系统安全将形同虚设。

UIPI的实现基于Windows完整性级别(Integrity Level)机制。每个进程启动时都会被赋予一个完整性级别，从低到高分为：不受信任、低、中、高、系统五个等级。就像写字楼的安保系统，低权限访客无法进入高安全区域一样，UIPI阻止了低完整性进程向高完整性进程的窗口发送特定消息。

这种安全机制虽然有效，但也给合法的跨进程通信带来了挑战。特别是在以下典型场景中：

管理员权限运行的应用程序需要接收普通用户权限工具发送的数据
系统服务需要与用户界面进程交互
不同安全级别的组件需要协同工作

2. ChangeWindowMessageFilterEx解决方案剖析

2.1 函数原理与参数解析

微软提供的ChangeWindowMessageFilterEx函数正是解决这一难题的钥匙。这个函数允许开发者针对特定窗口精细控制消息过滤规则，其工作原理可以类比为海关的特别通行证制度。

函数原型如下：

c复制BOOL ChangeWindowMessageFilterEx(
  [in] HWND hwnd,
  [in] UINT message,
  [in] DWORD action,
  [in, out, optional] PCHANGEFILTERSTRUCT pChangeFilterStruct
);

关键参数解析：

hwnd：目标窗口句柄，相当于要设置安检规则的"VIP通道"
message：要处理的消息ID，如WM_COPYDATA(0x004A)
action：处理动作，包含三种模式：
- MSGFLT_ALLOW(1)：永久放行该消息类型
- MSGFLT_DISALLOW(2)：禁止来自低权限进程的该消息
- MSGFLT_RESET(0)：恢复默认过滤规则

2.2 与ChangeWindowMessageFilter的差异

ChangeWindowMessageFilterEx与其前身ChangeWindowMessageFilter的主要区别在于作用范围：

ChangeWindowMessageFilter：进程级全局设置，影响所有窗口
ChangeWindowMessageFilterEx：窗口级精细控制，只影响指定窗口

这种差异类似于公司门禁系统的两种管理模式：一种是统一设置所有出入口的安检级别，另一种是为每个门单独配置不同的通行规则。

3. WPF中的完整实现方案

3.1 基础结构定义

在WPF项目中，我们需要先定义必要的结构和枚举：

csharp复制public enum MessageFilterAction : uint
{
    MSGFLT_RESET = 0,   // 重置过滤器
    MSGFLT_ALLOW = 1,   // 允许消息
    MSGFLT_DISALLOW = 2 // 禁止消息
}

[StructLayout(LayoutKind.Sequential)]
public struct CHANGEFILTERSTRUCT
{
    public uint cbSize;
    public uint ExtStatus;
}

3.2 核心API封装

封装ChangeWindowMessageFilterEx的函数实现：

csharp复制[DllImport("user32.dll", SetLastError = true)]
private static extern bool ChangeWindowMessageFilterEx(
    IntPtr hWnd,
    uint msg,
    MessageFilterAction action,
    ref CHANGEFILTERSTRUCT pChangeFilterStruct);

public static bool SetMessageFilter(IntPtr hWnd, uint message, MessageFilterAction action)
{
    CHANGEFILTERSTRUCT changeFilter = new CHANGEFILTERSTRUCT
    {
        cbSize = (uint)Marshal.SizeOf(typeof(CHANGEFILTERSTRUCT)),
        ExtStatus = 0
    };

    bool result = ChangeWindowMessageFilterEx(hWnd, message, action, ref changeFilter);
    if (!result)
    {
        int error = Marshal.GetLastWin32Error();
        throw new System.ComponentModel.Win32Exception(error);
    }
    return result;
}

3.3 窗口初始化设置

在窗口Loaded事件中应用消息过滤：

csharp复制private void MainWindow_Loaded(object sender, RoutedEventArgs e)
{
    _hwndSource = PresentationSource.FromVisual(this) as HwndSource;
    if (_hwndSource != null)
    {
        var handle = _hwndSource.Handle;
        SetMessageFilter(handle, WM_COPYDATA, MessageFilterAction.MSGFLT_ALLOW);
        _hwndSource.AddHook(WndProc);
    }
}

4. 完整通信方案实现

4.1 消息发送端实现

发送端核心代码结构：

csharp复制public const int WM_COPYDATA = 0x004A;

[StructLayout(LayoutKind.Sequential)]
public struct COPYDATASTRUCT
{
    public IntPtr dwData;
    public int cbData;
    public IntPtr lpData;
}

public static void SendMessageString(IntPtr hWnd, string message)
{
    byte[] messageBytes = Encoding.Unicode.GetBytes(message + '\0');
    COPYDATASTRUCT cds = new COPYDATASTRUCT
    {
        dwData = IntPtr.Zero,
        cbData = messageBytes.Length,
        lpData = Marshal.AllocHGlobal(cds.cbData)
    };
    
    Marshal.Copy(messageBytes, 0, cds.lpData, cds.cbData);
    try
    {
        SendMessage(hWnd, WM_COPYDATA, IntPtr.Zero, ref cds);
    }
    finally
    {
        Marshal.FreeHGlobal(cds.lpData);
    }
}

4.2 消息接收端处理

接收端消息处理逻辑：

csharp复制private IntPtr WndProc(IntPtr hwnd, int msg, IntPtr wParam, IntPtr lParam, ref bool handled)
{
    if (msg == WM_COPYDATA)
    {
        COPYDATASTRUCT cds = (COPYDATASTRUCT)Marshal.PtrToStructure(lParam, typeof(COPYDATASTRUCT));
        string receivedMessage = Marshal.PtrToStringUni(cds.lpData);
        
        this.Dispatcher.Invoke(() => 
        {
            txtMessage.Text = receivedMessage;
        });
        
        handled = true;
    }
    return IntPtr.Zero;
}