Windows原理深入学习系列-强制完整性检查

最新推荐文章于 2024-10-15 15:14:06 发布

信安成长计划@Stars

最新推荐文章于 2024-10-15 15:14:06 发布

阅读量415

点赞数

分类专栏： Windows原理深入学习系列文章标签： windows 系统安全 web安全安全

本文链接：https://blog.csdn.net/SecSource_Stars/article/details/124118992

版权

本文深入探讨Windows的强制完整性控制机制，通过逆向分析Win10_x64_20H2，详细阐述ObpGrantAccess函数在权限检查中的作用。文章分析了如何从Token获取完整性等级，并与SACL中的信息进行比较，揭示了完整性等级验证的过程。

摘要由CSDN通过智能技术生成

这是[信安成长计划]的第 24 篇文章

0x00 目录

0x01 介绍

0x02 逆向分析 Win10_x64_20H2

0x03 总结

0x04 参考文章

最近因为一些事情，拖更了三个周，大家见谅啊，后面还会开始一些其他的系列内容，还等着大家来捧场了。

现在我们接着之前的进度，继续完成 Windows 原理的学习。

在刚开始的时候，我们介绍了强制完整性控制的机制，这次就来看一下在实际的权限检查当中是如何进行的。

0x01 介绍

这次也还是接着上一次的 ObpGrantAccess 函数往后分析了，根据名字也很容易能够判断出这里的作用

不清楚为什么从 ObpGrantAccess 分析的，可以去看一下上一篇文章的介绍部分

0x02 逆向分析 Win10_x64_20

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

信安成长计划@Stars

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

Windows深度学习环境搭建

yxfamyself的博客

06-08

2723

深度学习环境搭建

【Windows 系统自带故障诊断工具介绍】

效率工具，软件测试，实用干货，资源分享，这里全是黑科技。

09-12

1984

系统文件检查器（System File Checker）是一个 Windows 系统内置的命令行工具，用于扫描和修复系统文件的完整性。它可以检查 Windows 系统文件是否被损坏、篡改或丢失，并尝试自动修复这些问题。磁盘检查工具（Check Disk）是一个用于检查和修复磁盘错误的 Windows 系统工具。它可以扫描磁盘上的文件系统错误、坏扇区以及其他磁盘问题，并尝试修复这些问题，以确保磁盘的正常运行和数据的安全性。

参与评论您还未登录，请先登录后发表或查看评论

验证windows 10系统组件的完整性及系统映像文件的修复命令

第五只狗的博客

10-06

7799

使用Dism /Online /Cleanup-Image /RestoreHealth /Source:c:\test\mount\windows /LimitAccess命令修复系统映像文件，可以在不联网的情况下进行。Dism /Online /Cleanup-Image /RestoreHealth /Source:c:\test\mount\windows /LimitAccess命令，来进行系统映像文件的修复。（计算机必须联网，在没有联网的情况下，执行了命令也不可能修复系统映像文件）

Windows校验文件完整性（MD5）

全栈菜鸟的博客

04-23

4413

前言数据在传输过程中可能会有丢失或者误码或者被篡改等可能（对我来说最重要的是检验有没有被篡改，放木马后门什么的），所以检验文件完整性非常重要，一般很多软件工具官网都会提供文件的md5值或者SHA256等校验值（还有提供官方截图的），我们依据这个校验文件的完整性（值不同即数据有变）。一.在Windows命令行校验命令格式： certutil -hashfile 文件路径算法用法...

对windows11系统的系统文件进行完整检查

最新发布

lhyyds的博客

10-15

696

（按下Enter键）在62.3%处需要更多时间是正常的，若是没有报错，建议多等待一会。（按下Enter键）如果显示“未检测到组件存储损坏”，不必执行下面的2个命令。（WIndows11中可能显示Windows 终端（管理员））（按下Enter键）（按下Enter键）（按下Enter键）

深入学习Windows动态链接库

王涛的专栏

08-30

1187

　　在Windows世界中，有无数块活动的大陆，它们都有一个共同的名字——动态链接库。现在就让我们走进这些神奇的活动大陆，找出它们隐藏已久的秘密吧！初窥门径:Windows的基石随便打开一个系统目录，一眼望去就能看到很多扩展名DLL的文件，这些就是经常说的“动态链接库”，DLL是Dynamic Link Library(即“动态链接库”)的缩写。从Microsoft公司推出首个版

Windows原理深入学习系列-强制完整性检查.doc

07-13

强制完整性检查是Windows操作系统中的一个重要安全特性，用于保护系统免受恶意软件的侵害。这一机制确保了只有具有适当完整性级别的进程或线程才能访问特定的系统资源。在深入理解这一概念之前，我们需要先了解几个...

Windows原理深入学习系列-强制完整性控制

SecSource_Stars的博客

03-01

4415

0x00 目录 0x01 介绍 0x02 完整性等级 0x03 文件读取测试 0x04 进程注入测试 0x05 原理分析 Win10_x64_20H2 0x06 参考文章 0x01 介绍强制完整性控制（Mandatory Integrity Control，MIC），它是对 discretionary access control list 的补充，并且是在 DACL 之前检查的这是从 Windows Vista 新增的安全机制，在 Windows XP 中几乎所有的进程都是运行在管理员权限下的。在官

Windows原理深入学习系列-访问控制列表

SecSource_Stars的博客

03-04

3678

这是[信安成长计划]的第 19 篇文章 0x00 目录 0x01 介绍 0x02 DACL 0x03 创建DACL 0x04 文件读取测试 0x05 进程注入测试 0x06 原理分析 Win10_x64_20H2 0x07 参考文章在最后分析的时候纠正一下网上大批分析文章中的一个错误，东西只有自己实践了才知道 0x01 介绍在上一篇讲强制完整性控制的时候提到过，在权限检查的时候，会先进行强制完整性检查，然后再进行 DACL 检查，DACL 就是包含在这次要提到的 ACL 当中的。访问控制列表（Acce

Windows强制完整性检查机制深度解析

"这篇文档是Windows原理深入学习系列的一部分，专注于强制完整性检查的探讨。作者在文中通过逆向分析Win10_x64_20H2系统，详细阐述了强制完整性控制（Mandatory Integrity Control, MIC）在权限检查中的实现机制。...

对于Windows10系统文件的检查及修复【命令版】

www.yfhxya.cn

03-10

5773

Windows10系统文件的检查及修复，通常我们会用到sfc /SCANNOW 和Dism /Online /Cleanup-Image /CheckHealth、DISM /Online /Cleanup-Image /RestoreHealth三个命令

对Windows学习的总结

xiaoqiangXX的专栏

10-28

2949

对Windows学习的总结我从事Windows平台的开发断断续续大概也有4年了。这里想对自己的学习过程进行一个总结。因为我并不是专职的开发人员，所以水平也有限。不过相比其他人的学习之路，我的总结也还颇有可取之处。首先，因为我从本科开始所学专业为计算机，现已读到博士学位，所以我的学习之路会更加扎实，不是简单编程技能的锻炼，对于所需的基础知识，我会在文中点出。其二，因为机缘，身边并没有Wi

Windows系统文件扫描与修复：sfc /scannow命令详解

nntxthml的博客

10-14

2308

sfc /scannow是Windows系统内置的一个命令行工具，全称为“System File Checker”，即系统文件检查器。该命令的主要作用是扫描并修复Windows系统中受保护的系统文件。当系统文件因各种原因（如病毒攻击、不当操作、硬件故障等）而损坏时，sfc /scannow命令会从%WinDir%\System32\dllcache（Windows操作系统文件夹下的dllcache目录）中查找并替换损坏的文件。

windows11下，使用工具验证下载的iso文件完整性

来老师的专栏

05-27

882

windows11下，要验证下载的iso文件是否正常，可以使用工具生成md5值，再与下载源提供的md5值进行比较，相同，说明下载的正常。如下面的例子，生成deepin23的md5值。

检查系统文件完整性

如鹿渴慕泉水的专栏

06-28

6872

在管理员命令提示符下键入以下命令： Dism /Online /Cleanup-Image /ScanHealth 这条命令将扫描全部系统文件并和官方系统文件对比，扫描计算机中的不一致情况。 Dism /Online /Cleanup-Image /CheckHealth 这条命令必须在前一条命令执行完以后，发现系统文件有损坏时使用。 DISM /Online /Cleanup-image /RestoreHealth 这条命令是把那些不同的系统文件还原成官方系统源文件。完成后重启，再键入以下命令：sfc

Windows 内核驱动程序完整性校验的原理分析

zz_strive_2012的专栏

06-22

1104

在上一篇文章中提到了 Windows Vista 及之后版本的 Windows 操作系统在驱动程序加载完成后，驱动中调用的一些系统回调函数（如 ObRegisterCallbacks，可用来监控系统中对进线程句柄的操作，如打开进程、复制线程句柄等）等 API 中会通过 MmVerifyCallbackFunction 函数对该驱动程序进行完整性检查，检测未通过则会返回 0xC0000022 拒绝访问的返回值。在这篇文章中将会对这个函数进行简单的分析，以明确其原理。 0x0 获取函数地址通过 Windb

系统、文件完整性检查工具

weixin_33939843的博客

12-26

1514

[b]绪言[/b] 　　仅以本文献给Windows下的主机系统管理员，早日摆脱***的侵扰——当然，你也可以用它来对付流氓软件，虽然有点大材小用。　　完整性是安全要求的基本要求之一，下面将介绍利用免费的文件完整性检测工具Sentinel来检查系统的完整性，以察觉对系统的更改来保证系统的安全性。[b]一、系统的完整性[/b]　　对一个Windows系统管理员来说，主机系统的安全...