Windows原理深入学习系列-强制完整性控制

已于 2022-03-01 10:41:02 修改
阅读量4.3k 收藏 5
点赞数
分类专栏: Windows原理深入学习系列 文章标签: windows 学习 系统安全 安全
于 2022-03-01 10:33:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SecSource_Stars/article/details/123199998
版权

欢迎关注微信公众号:[信安成长计划]

0x00 目录

0x01 介绍

0x02 完整性等级

0x03 文件读取测试

0x04 进程注入测试

0x05 原理分析 Win10_x64_20H2

0x06 参考文章

0x01 介绍

强制完整性控制(Mandatory Integrity Control,MIC),它是对 discretionary access control list 的补充,并且是在 DACL 之前检查的

这是从 Windows Vista 新增的安全机制,在 Windows XP 中几乎所有的进程都是运行在管理员权限下的。

在官方文档中描述为 Windows 为其划分了四个完整性级别:低、中、高、系统;但从实际上看到的对应表中,有五个等级,多了一个不受信任等级

图片

在查资料的时候发现,还会有一个等级,高于 System 完整性,被叫做 Protected integrity level,但是它默认情况下是没有使用的,它只能由内核层来设置

具有低完整性级别的主体无法写入具有中等完整性级别的对象,这就相当于提供了一种在同一用户下,根据可信程度来限制不同进程之间的交互,低完整性等级的进程都无法对高完整性进程进行注入

虽然是限制了进程间的交互,但是高低完整性的进程还是可以通过其他的进程间通信的方式来进行交互:共享内存、Sockets、RPC、Windows 消息机制、命名管道,这些是不受限制的。

0x02 完整性等级

Windows 直接使用了 SID 来定义完整性等级,这样就非常容易的将此机制集成到现有的结构当中,还不用修改代码

完整性等级所使用的 SID 格式是:S-1-16-xxxx

16 就是强制完整性的标识,后面的 xxxx,就是所对应的 RID,用来表示完整性等级的,这个值就是上面所提到的那几个十六进制值,它们以 0x1000 为间隔,也是为了将来能够再定义其他的等级

所以组合到一起以后完整性等级所对应的 SID 就变成了

图片

System

这是最高的完整性级别,由在本地服务、网络服务和系统账户下运行的进程和服务使用。此级别的目的是在管理员和系统之间提供一个安全层,即使以完全管理员身份运行的进程也无法与系统完整性级别进程交互

唯一的例外情况是,如果管理员账户被授予 SE_DEBUG_NAME 权限,那么他就可以在 token 中启用这个权限,来进行交互

High

分配给在管理员账户下运行的进程的默认完整性级别,如果启用了 UAC,则此级别将仅提供给提升过 UAC 权限的用户

Medium

授予在非管理员用户账户下运行的进程或启用 UAC 的管理员账户上的进程。

此完整性级别的进程只能修改 HKEY_CURRENT_USER、非受保护文件夹中的文件以及具有相同或更

最低0.47元/天 解锁文章
信安成长计划@Stars
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows原理深入学习系列-强制完整性检查.doc
07-13
Windows强制完整性检查主要发生在访问控制检查(Access Check)的过程。当一个进程试图访问某个对象时,系统会执行以下步骤: 1. **ObpGrantAccess函数**:这是一个关键的内核函数,负责处理访问请求。它会...
Windows基础安全设置
悦分享
05-15 5791
不过这项策略在前几年并非是强制的,默认设置的Windows,如果安装不包含微软签名的驱动,Windows只会提示用户可能存在的风险,并由用户决定要采取怎样的操作。但如果自己不知道有哪些安全软件是兼容Windows 7的,例如,还没有安装反病毒软件,希望使用一个微软推荐的软件,则可以单击相应的类别(例如,反病毒软件对应的“恶意软件保护”类别),然后单击“查找程序”按钮,这样系统会自动调用浏览器访问微软网站上的相关页面,在那里可以看到微软推荐的所有软件,并可下载和试用。如果找不到匹配的信息,则会拒绝登录。
验证windows 10系统组件的完整性及系统映像文件的修复命令
第五只狗 的博客
10-06 6174
使用Dism /Online /Cleanup-Image /RestoreHealth /Source:c:\test\mount\windows /LimitAccess命令修复系统映像文件,可以在不联网的情况下进行。Dism /Online /Cleanup-Image /RestoreHealth /Source:c:\test\mount\windows /LimitAccess命令,来进行系统映像文件的修复。(计算机必须联网,在没有联网的情况下,执行了命令也不可能修复系统映像文件)
windows安全防御
weixin_44996798的博客
04-29 279
windows安全防御 从Windows XP、Vista、Windows 7、Windows 8直至现在的Windows 10,各个系统的使用感觉是完全不一样的,要论系统的体验,没有哪一个能比Windows XP经典,不过要论系统的安全性,就属Windows XP最差了。 微软系统更新史 现在人们一提到系统的安全性,首先会联想到Mac系统和Linux系统,而绝非Windows系统,为什么人们会对...
操作系统 - 沙箱(sandboxing)技术
windfree的专栏
12-04 2959
一、原理: 为程序构建一种隔离的、受限的、可配置的、可追溯的运行环境,限制不可信进程或代码的运行权限,防止对系统造成恶意破坏,追溯恶意程序行为。 二、实现方式: 1、虚拟化 为不可信的资源构建封闭的运行环境,根据虚拟化层次分为系统级沙箱和容器级沙箱。 2、规则 只允许访问指定的API(系统调用)。主要由访问控制引擎和监控器组成。监控器将监控到行为经过转换提交给规则引擎,规则引擎来判断是否允许程序对系统资源的访问。 三、主要产品 Sandbo...
windows核心编程-windows完整性机制
qq_22423659的博客
11-27 1328
进程的内核对象是等着别人拿着令牌访问我们的 令牌是我们拿着令牌区访问别人的内核对象的,与别的安全描述符权限比较 windows完整性机制:是对windows安全授权的一个补充 安全模块在拿token和安全描述符SECURITY_DESCRIPTOR比照之前,还会做一个完整性检查的工作 完整性等级低的不能访问完整性等级高的,如果没有设置,内核对象会设置默认的完整性等级medium。 让进程
NCSE-强化WINDOWS安全完美版资料.ppt
11-18
【NCSE-强化WINDOWS安全】课程旨在深入讲解...对于NCSE(Network Computing System Engineer)考试来说,这些知识是必不可少的,考生需要深入学习并掌握这些内容,以确保在实际工作能够有效保障Windows环境的安全
深入研究Windows内部原理系列之十三:如何诊断和调试蓝屏错误
09-17
### 深入研究Windows内部原理系列之十三:如何诊断和调试蓝屏错误 #### 初识蓝屏 在深入探讨之前,我们首先需要理解何为“蓝屏”。蓝屏,正式名称为“蓝屏死机”(Blue Screen of Death,简称BSOD),是Windows...
Windows系统安全培训课件.pptx
11-23
Windows系统安全培训课件主要涵盖了Windows安全的基本原理和管理实践,包括Windows安全架构、安全子系统、密码系统、系统服务和...通过深入学习这些内容,用户可以更好地保护自己的系统,防止数据泄露和系统被破坏。
python3.8入门教程完整版-Python3.8从入门到精通(视频教学版).pdf
06-11
本教程旨在帮助初学者快速掌握Python 3.8的基础知识,通过学习这些章节,你可以建立起对Python编程的坚实基础,为后续深入学习打下牢固根基。随着实践的积累,你将能够编写出高效、优雅的Python代码,应对各种编程...
对于Windows10系统文件的检查及修复【命令版】
最新发布
www.yfhxya.cn
03-10 3173
Windows10系统文件的检查及修复,通常我们会用到sfc /SCANNOW 和Dism /Online /Cleanup-Image /CheckHealth、DISM /Online /Cleanup-Image /RestoreHealth三个命令
Windows校验文件完整性(MD5)
全栈菜鸟的博客
04-23 4302
前言 数据在传输过程可能会有丢失或者误码或者被篡改等可能(对我来说最重要的是检验有没有被篡改,放木马后门什么的),所以检验文件完整性非常重要,一般很多软件工具官网都会提供文件的md5值或者SHA256等校验值(还有提供官方截图的),我们依据这个校验文件的完整性(值不同即数据有变)。 一.在Windows命令行校验 命令格式: certutil -hashfile 文件路径 算法 用法...
Windows编程之进程篇
weixin_34409357的博客
07-04 116
2019独角兽企业重金招聘Python工程师标准>>> ...
完整性级别(Integrity Level)、UAC和LoRIE(涉及IE保护模式)
丸子头的专栏
08-07 6746
完整性级别(Integrity Level)、UAC和LoRIE 在Windows Vista,微软一开始就对其处于操作系统核心地位的自主访问控制功能进行了扩展。主要的目的是为了在某些情形下实施强制(mandatory)访问控制。举例说明,执行某些动作必须要管理员权限,而在获取管理员权限之前在标准的用户权限识别管理基础上需要额外的授权。微软将这一新的架构扩展称为"强制完整性控制(MIC)"。
windows系统应用 学习心得
2301_77677710的博客
11-06 812
Windows系统应用课程是一门介绍Windows操作系统及其应用程序的课程。该课程主要涵盖以下内容:Windows操作系统的基础知识:介绍Windows操作系统的特点、版本、系统要求、安装和升级等基础知识。Windows系统管理:介绍Windows系统管理的基本操作、安全性和维护等内容,包括用户和组、文件和文件夹、磁盘管理、备份和还原等。Windows应用程序:介绍Windows操作系统的常用应用程序,如Office办公软件、浏览器、邮件客户端、媒体播放器、图像编辑器等。Windows网络配置:介绍Wi
Windows原理深入学习系列-强制完整性检查
SecSource_Stars的博客
04-12 359
这是[信安成长计划]的第 24 篇文章 0x00 目录 0x01 介绍 0x02 逆向分析 Win10_x64_20H2 0x03 总结 0x04 参考文章 最近因为一些事情,拖更了三个周,大家见谅啊,后面还会开始一些其他的系列内容,还等着大家来捧场了。 现在我们接着之前的进度,继续完成 Windows 原理学习。 在刚开始的时候,我们介绍了强制完整性控制的机制,这次就来看一下在实际的权限检查当是如何进行的。 0x01 介绍 这次也还是接着上一次的 ObpGrantAccess 函数往后分析了,根据名字
Mandatory Integrity Control
weixin_30825581的博客
05-04 140
Mandatory Integrity Control (MIC) provides a mechanism for controlling access to securable objects. This mechanism is in addition to discretionary access control and evaluates access before acces...
浅析Windows安全相关的一些概念
风雨无阻 http://blog.csdn.net/ShineOrRain
07-01 738
本文转自:http://www.tuicool.com/articles/NRFRFn
代码完整性
zone的博客
04-06 586
代码完整性 3种错误处理的方法 通常我们有3种方式把错误信息传递给函数的调用者。 第一种方式是函数用返回值来告知调用者是否出错。这种方式最大的问题是使用不便,因为函数不能直接把计算结果通过返回值赋值给其他变量,同时也不能把这个函数计算结果直接作为参数传递给其他函数。 第二种方式是当错误发生时设置一个全局变量。此时我们可以在返回值传递计算结果了。这种方法比第一种方法使用起来更加方便,因为调用者可以直接把返回值赋值给其他变量或者作为参数传递给其他函数。但这种方法有一个问题:调用者很容易忘记检查全局变量,因此
"数据库系统原理第四章-安全控制详解
数据库系统原理第四章-安全控制-PPT课件为我们介绍了数据库安全性的基本原理安全控制机制。在数据库系统安全控制的目标是防止对数据库的数据进行非授权使用,以避免数据的泄露、更改或破坏。为了实现这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值