通过监控注册表修改、进程提升标志和异常的父子进程关系，检测提升控制机制滥用，包括 UAC 绕过、sudo 利用和 setuid/setgid 操纵。