Как Windows определяет, вносит ли приложение изменения в устройство

Для приложений, которые запускают UAC (диалоговое окно «Вы хотите разрешить этому приложению вносить изменения в ваше устройство»), какие характеристики обнаруживаются Windows, чтобы принять решение о запуске UAC? Учтите, что параметр «Запускать эту программу от имени администратора» отключен на вкладке «Совместимость» свойств исполняемого файла/ярлыка. Обнаруживает ли Windows определенные данные/метаданные внутри исполняемого файла? Сохраняет ли Windows метаданные о разных приложениях, различая приложения, которые могут «вносить изменения в устройство», и приложения, которые этого не делают?

какие характеристики обнаруживаются Windows, чтобы принять решение о запуске UAC

Попытка доступа к ресурсу, на доступ к которому у стандартного токена пользователя учетной записи нет разрешения.

https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/how-user-account-control-works

«Когда администратор входит в систему, для пользователя создаются два отдельных маркера доступа: маркер доступа стандартного пользователя и маркер доступа администратора. Маркер доступа стандартного пользователя содержит ту же информацию о пользователе, что и маркер доступа администратора, но Привилегии и SID удаляются.Токен доступа стандартного пользователя используется для запуска приложений, которые не выполняют административные задачи (стандартные пользовательские приложения).Токен доступа стандартного пользователя затем используется для отображения рабочего стола (explorer.exe).Explorer.exe — это родительский процесс, от которого все другие инициированные пользователем процессы наследуют свои маркеры доступа. В результате все приложения запускаются от имени обычного пользователя, если пользователь не предоставит согласие или учетные данные для утверждения приложения для использования маркера полного административного доступа».