在dllhost进程的属性对话框上，切换到“Security”标签页，不出所料，dllhost进程的访问令牌里果然有SeSystemTimePrivilege特权，而且是启用状态，如附图所示。

　　现在真相大白了，原来Windows Vista表面上让rundll32进程“明修栈道”，背地里却让dllhost进程“暗渡陈仓”，把完全的管理员令牌赋予该dllhost进程，真正让我们可以修改系统时间的是dllhost进程!

　　4.系统背后的动作

　　为了更好地对系统背后的动作进行监测，我们再启动Process Monitor，然后再重复上述的操作。

　　结果在Process Monitor里监测发现，单击“日期和时间”窗口右下侧的“更改日期和时间”按钮，发现由svchost进程(进程ID为1924)启动consent.exe进程，这个consent.exe进程就是“用户帐户控制”对话框，如附图所示。

　　盆盆评注 在Windows Vista下，应该用Process Monitor代替Filemon和Regmon，Process Monitor除了可以监控注册表和文件活动外，还可以监控进程的活动，包括其堆栈信息。