- 博客(8)
- 收藏
- 关注
RSS订阅原创 windows之权限检查
After obtaining an object’s security information, ObCheckObjectAccess invokes the SRM function SeAccessCheck. SeAccessCheck 在得到一个对象的安全信息以后,ObCheckObjectAccess 调用SRM功能SeAccessCheck.当文件被打开ObCheckObjectAccess 不会被执行。当一个对象被打开,对象管理器执行一个查找操作-----在对象管理器的表空间。
2023-09-21 16:33:04
70
原创 windows安全之保护对象
To control who can manipulate an object, the security system must first be sure of each user’s identity. This need to guarantee 为了控制谁能操作一个对象,安全的系统必须确定每个用的的标识符,需要生成这个用户的。windows包含的文件,设备,这个在windows上的对象能被保护。,内核不执行权限检查。因为系统资源被输出到用户模式的实现 是当作对象的 ,该对象在内核模式中。
2023-09-19 13:03:18
59
原创 有关efi和window系统的理解
像第二章说的,系统架构------win10和服务器2016包含了一个基于虚拟化的安全架构-----启用了虚拟信任等级 ----vTL。为了了解这个安全边界和保护----凭据保护提供的,理解各种组件----这些组件提供权限去访问用户的资源和数据。当然,像任何被信任的组件,vtl1也创造某些假设,这样他依靠的组件可以被信任。并且让关键的用户模式的应用----这些应用具有高度私密的用户数据,对第三方企业开放。通过Patch守卫组件和被加强通过VBS电影,超及守卫技术----由VBS驱动。
2023-09-11 16:29:43
462
原创 windows虚拟安全
像第二章说的,系统架构------win10和服务器2016包含了一个基于虚拟化的安全架构-----虚拟信任等级。微软说有100万驱动哈希值被看见----用这个遥测技术。像被提到的,正常的用户模式和核心代码运行在VTL 0 并且 不知道VTL1的存在。并且让关键的用户模式的应用----这些应用具有高度私密的用户数据,对第三方企业开放。通常认为内核值得信任,由于用用户模式被内核 做了高等级的隔离和特权限制。在这样的一个现实,内核要小,被保护的组件,用户的应用要 安全。有危险的用户模式的应用。
2023-09-08 16:40:28
51
1
原创 windows安全组件相关
替换 让补丁的内存里。因为lsaiso.exe是一个受信物—运行在VTL 1,不是任何的正常进程,正常内核 不能能访问这个进程的地址空间。补丁策略数据库----这个数据库包含本地系统安全策略设置。它被存储注册表----被acl保护的区域,都在HKLM\security.这个本地安全服务-----一个库----可以lsass的加载,实现大多数功能。比如哪个用户被允许登录这个机器,密码策略,授予特权给用户和组。和系统安全审计设置,用户的权限和发送安全审计信息。去代表一个安全的上下文,对对象执行安全访问检查,
2023-09-07 14:39:35
95
原创 windows驱动理解(二)
Filter drivers A filter driver is used to add functionality to a device or existing driver, or to modify I/O requests or responses from 过滤驱动,一个过滤驱动被使用, 然后就能加入功能,然后设备或者存在的驱动就有了新的功能。在系统上的总线类型有一个总线驱动。本质上是一个用户模式的服务,它用alpc去交流,和核心包装的驱动-----这个核心包装驱动提供真权限去访问硬件。
2023-09-05 14:38:05
81
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人