如何在进程之间共享内核对象

转载 2006年06月21日 15:53:00

      有时,服务必须创建可由运行在不同用户帐户下的进程访问的内核对象。要允许以这种方式共享对象,服务必须使用明确授权用户对象访问权限的安全描述符来创建对象。或者,安全描述符可以授予对整个用户组的访问权限。

本文中的示例代码非常特定,因为它授予经过身份验证的用户 组对互斥体的访问权限。这段代码使用了大量的安全 API 来构造互斥体的安全描述符。有关这些安全函数的完整文档,请参阅 MSDN Library 中 Platform SDK 文档的“Access Control”(访问控制)部分:

http://msdn.microsoft.com/library/en-us/security/hh/winbase/accctrl_2hf0.asp (http://msdn.microsoft.com/library/en-us/security/hh/winbase/accctrl_2hf0.asp)
您必须完全了解这些调用(通常情况下还包括访问控制技术),以便针对其他用户、组和内核对象改编代码。
 

示例代码

以下示例代码说明了如何构造安全描述符,以授予经过身份验证的用户 组 GENERIC_READ、GENERIC_WRITE 和 GENERIC_EXECUTE 权限。新构造的安全描述符随即应用于互斥体。

出于说明目的,此示例代码使用了通用访问权限。这些通用权限利用了可用于所有内核对象的通用映射。在实际的应用程序中,创建对象时最好使用对象特定的访问权限。

给定的资源管理器在映射到对象特定的访问权限时,可能会解释给定的通用权限集,以包括其他标准访问权限。例如,为互斥体指定 GENERIC_READ、GENERIC_WRITE 和 GENERIC_EXECUTE 权限相当于指定对象特定的权限 MUTEX_MODIFY_STATE 和 SYNCHRONIZE。因此,其他线程要想获得互斥体的句柄,只能通过在 OpenMutex() 中为 dwDesiredAccess 参数指定 MUTEX_MODIFY_STATE 和/或 SYNCHRONIZE。使用 MUTEX_ALL_ACCESS 打开互斥体的尝试将失败,并显示错误代码 5 (ERROR_ACCESS_DENIED)。

#include <windows.h>
#include <stdio.h>

// The following function initializes the supplied security descriptor
// with a DACL that grants the Authenticated Users group GENERIC_READ,
// GENERIC_WRITE, and GENERIC_EXECUTE access.
//
// The function returns NULL if any of the access control APIs fail.
// Otherwise, it returns a PVOID pointer that should be freed by calling
// FreeRestrictedSD() after the security descriptor has been used to
// create the object.

PVOID BuildRestrictedSD(PSECURITY_DESCRIPTOR pSD) {

   DWORD  dwAclLength;

   PSID   pAuthenticatedUsersSID = NULL;

   PACL   pDACL   = NULL;
   BOOL   bResult = FALSE;

   PACCESS_ALLOWED_ACE pACE = NULL;

   SID_IDENTIFIER_AUTHORITY siaNT = SECURITY_NT_AUTHORITY;
  
   SECURITY_INFORMATION si = DACL_SECURITY_INFORMATION;
  
   __try {

      // initialize the security descriptor
      if (!InitializeSecurityDescriptor(pSD,
            SECURITY_DESCRIPTOR_REVISION)) {
         printf("InitializeSecurityDescriptor() failed with error %d/n",
               GetLastError());
         __leave;
      }

      // obtain a sid for the Authenticated Users Group
      if (!AllocateAndInitializeSid(&siaNT, 1,
            SECURITY_AUTHENTICATED_USER_RID, 0, 0, 0, 0, 0, 0, 0,
            &pAuthenticatedUsersSID)) {
         printf("AllocateAndInitializeSid() failed with error %d/n",
               GetLastError());
         __leave;
      }

      // NOTE:
      //
      // The Authenticated Users group includes all user accounts that
      // have been successfully authenticated by the system. If access
      // must be restricted to a specific user or group other than
      // Authenticated Users, the SID can be constructed using the
      // LookupAccountSid() API based on a user or group name.

      // calculate the DACL length
      dwAclLength = sizeof(ACL)
            // add space for Authenticated Users group ACE
            + sizeof(ACCESS_ALLOWED_ACE) - sizeof(DWORD)
            + GetLengthSid(pAuthenticatedUsersSID);

      // allocate memory for the DACL
      pDACL = (PACL) HeapAlloc(GetProcessHeap(), HEAP_ZERO_MEMORY,
            dwAclLength);
      if (!pDACL) {
         printf("HeapAlloc() failed with error %d/n", GetLastError());
         __leave;
      }

      // initialize the DACL
      if (!InitializeAcl(pDACL, dwAclLength, ACL_REVISION)) {
         printf("InitializeAcl() failed with error %d/n",
               GetLastError());
         __leave;
      }
     
      // add the Authenticated Users group ACE to the DACL with
      // GENERIC_READ, GENERIC_WRITE, and GENERIC_EXECUTE access
      if (!AddAccessAllowedAce(pDACL, ACL_REVISION,
            GENERIC_READ | GENERIC_WRITE | GENERIC_EXECUTE,
            pAuthenticatedUsersSID)) {
         printf("AddAccessAllowedAce() failed with error %d/n",
               GetLastError());
         __leave;
      }

      // set the DACL in the security descriptor
      if (!SetSecurityDescriptorDacl(pSD, TRUE, pDACL, FALSE)) {
         printf("SetSecurityDescriptorDacl() failed with error %d/n",
               GetLastError());
         __leave;
      }

      bResult = TRUE;
    
   } __finally {

      if (pAuthenticatedUsersSID) FreeSid(pAuthenticatedUsersSID);
   }

   if (bResult == FALSE) {
      if (pDACL) HeapFree(GetProcessHeap(), 0, pDACL);
      pDACL = NULL;
   }

   return (PVOID) pDACL;
}

// The following function frees memory allocated in the
// BuildRestrictedSD() function
VOID FreeRestrictedSD(PVOID ptr) {

   if (ptr) HeapFree(GetProcessHeap(), 0, ptr);

   return;
}

void main(void)
{
   SECURITY_ATTRIBUTES sa;
   SECURITY_DESCRIPTOR sd;

   PVOID  ptr;
   HANDLE hMutex;

   // build a restricted security descriptor
   ptr = BuildRestrictedSD(&sd);
   if (!ptr) {
      printf("BuildRestrictedSD() failed/n");
      return;
   }

   // create a mutex using the security descriptor
   sa.nLength = sizeof(sa);
   sa.lpSecurityDescriptor = &sd;
   sa.bInheritHandle = FALSE;

   hMutex = CreateMutex(&sa, FALSE, "RestrictedMutex");
   if (!hMutex)
      printf("CreateMutex() failed with error %d/n", GetLastError());

   // free the memory allocated by BuildRestrictedSD
   FreeRestrictedSD(ptr);

   // use the mutex ...

   printf("Press the return key to close the mutex handle.../n");
   getchar();

   // close the mutex handle
   CloseHandle(hMutex);
}

本文来自:http://support.microsoft.com/kb/CHS106387/ZH-CN/#appliesto

相关文章推荐

跨进程边界共享内核对象

1、利用文件映射对象,可以在同一台机器上运行的两个不同进程之间共享数据块 2、借助邮件槽和命名管道,在网络中的不同计算机上运行的进程可以相互发送数据块 3、互斥量、信号量和事件允许不同进程中的线程同步...

-跨越进程边界共享内核对象【命名对象】

跨越进程边界共享内核对象有三种方法: 对象句柄的继承性命名对象复制对象句柄 命名对象 共享跨越进程边界的内核对象的第二种方法是给对象命名,注意有些内核对象是不可以命名的,但多数内核对象可以命...

-跨越进程边界共享内核对象【复制对象句柄】

跨越进程边界共享内核对象有三种方法: 对象句柄的继承性命名对象复制对象句柄 复制对象句柄 共享跨越进程边界的内核对象的最后一个方法是使用 BOOL Duplicat...

-跨越进程边界共享内核对象【对象句柄的继承性】

都是一些概念性的东西,看得可能会有点烦,不过看了后面多线程和内存管理再回过头来看,会有不一样的感觉。   许多情况下,在不同进程中运行的线程需要共享内核对象。下面是为何需要共享的原因: • 文...

进程与线程(六)用内核对象进行线程同步(下)

信号量,资源计数为0时未触发,计数大于0时触发,现在看这个例子可能不会觉得有什么用,等到多线程这块结束时拿出一个我高二时写的多线程的例子~就会看出其用处了~暂且无聊一下~ 1 int _tmai...

进程、线程及内核对象

进程、线程及内核对象   内核对象 每个内核对象只是内核分配的一个内存块,并且只能由该内核访问,这个内存块是一种数据结构,他的成员负责维护该对象的各种信息,如进程对象有一个进程ID、一个基本优先...
  • zh852
  • zh852
  • 2014-08-07 15:02
  • 1093

多线程锁:事件内核对象(进程锁)

管理事件内核对象   在前面讲述线程通信时曾使用过事件内核对象来进行线程间的通信,除此之外,事件内核对象也可以通过通知操作的方式来保持线程的同步。对于前面那段使用临界区保持线程同步的代码可用事件...

进程间通信:使用file-mapping kernel object(文件映射内核对象)

一个机器上的两个进程间通信,可以使用很多种方式。但看《windows核心编程》说,其实归根结底都是使用了file-mapping kernel object。把那一章看了看,长了不少知识。但是我最感兴...

进程的内核对象句柄表

进程的内核对象句柄表   当进程初始化的时候,系统会为其分配一个句柄表(handle table)。该句柄表只用于内核对象,不适用于用户对象或GDI对象。 具体该句柄表在系统中是种怎样的结构和是怎...

Windows进程内核对象句柄表

一个进程在初始化时,系统将为它分配一个句柄表。这个句柄表仅供内核对象使用,不适用于用户对象或GDI对象。 创建 一个进程首次初始化的时候,其句柄表为空。当进程内的一个线程调用一个会...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:深度学习:神经网络中的前向传播和反向传播算法推导
举报原因:
原因补充:

(最多只允许输入30个字)