关于进程访问令牌( access token ) 及 OpenProcessToken

    访问令牌是一个被保护的对象，包含了与用户帐户相关的辨识和特权信息。当用户登陆到一台windows计算机，登陆进程会验证用户的登陆凭据。成功后，登陆进程返回一个对应用户的SID和一个用户的安全组SID列表。计算机LSA使用这些信息创建一个访问令牌（主访问令牌）。该访问令牌包括了由登录进程返回的SIDs和一份由本地安全策略分发给用户以及用户安全组的特权列表。此后，这份访问令牌的拷贝会跟每个代表用户执行的线程和进程链接。

    如果拿到访问令牌，登录成功，要是访问某台本域内计算机的共享资源时，则必须出示访问令牌。从而来决定将拥有何种权限来访问。

    在使用OpenProcess()函数打开一个进程时，通常是没有权限的，这时就需要设置进程访问令牌，更改进程的权限。

 

    我们要修改一个进程的访问令牌，首先要获得进程访问令牌的句柄，这可以通过 OpenProcessToken得到，函数的原型如下：
BOOL OpenProcessToken(

           HANDLE ProcessHandle,
           DWORD DesiredAccess,
           PHANDLE TokenHandle
)；
第一参数是要修改访问权限的进程句柄；第三个参数就是返回的访问令牌指针；第二个参数指定你要进行的操作类型，如要修改令牌我们要指定第二个参数为TOKEN_ADJUST_PRIVILEGES（其它一些参数可参考Platform SDK）。通过这个函数我们就可以得到当前进程的访问令牌的句柄（指定函数的第一个参数为GetCurrentProcess()就可以了）。

 

    要修改进程的什么权限？通过函数LookupPrivilegevalue()设定

BOOL LookupPrivilegevalue(
            LPCTSTR lpSystemName, // system name
            LPCTSTR lpName, // privilege name
            PLUID lpLuid // locally unique identifier
);

第一个参数是系统的名称，如果是本地系统只要指明为NULL就可以了，第三个参数就是返回LUID的指针，第二个参数就是指明了权限的名称，如“SeDebugPrivilege”（Winnt.h有详细定义），如果要对一个任意进程进行指定了写相关的访问权限，设为"SeDeDebug"权限就可以了。

 

typedef struct _TOKEN_PRIVILEGES {
         DWORD PrivilegeCount;
         LUID_AND_ATTRIBUTES Privileges[ANYSIZE_ARRAY];

} TOKEN_PRIVILEGES

该结构包含一个数组，数据组的每个项指明了权限的类型和要进行的操作，PrivilegeCount指的数组元素的个数，接着是一个LUID_AND_ATTRIBUTES类型的数组，再来看一下LUID_AND_ATTRIBUTES这个结构的内容，声明如下：

typedef struct _LUID_AND_ATTRIBUTES {
          LUID Luid;
          DWORD Attributes;
} LUID_AND_ATTRIBUTES, *PLUID_AND_ATTRIBUTES

第一个参数就是指权限的类型，是一个LUID的值，LUID就是指locally unique identifier，保证局部唯一，就是指在系统的每一次运行期间保证是唯一的就可以了。这个就是LookupPrivilegevalue()返回的值。第二个参数就指明了我们要进行的操作类型，有3个可选项： SE_PRIVILEGE_ENABLED、SE_PRIVILEGE_ENABLED_BY_DEFAULT、SE_PRIVILEGE_USED_FOR_ACCESS。

 

最后，调用AdjustTokenPrivileges对这个访问令牌进行修改。AdjustTokenPrivileges的原型如下：
BOOL AdjustTokenPrivileges(
            HANDLE TokenHandle, 
            BOOL DisableAllPrivileges, 
            PTOKEN_PRIVILEGES NewState, 
            DWORD BufferLength, 
            PTOKEN_PRIVILEGES PreviousState, 
            PDWORD ReturnLength
);
第一个参数是访问令牌的句柄（OpenProcessToken()返回的），第二个参数决定是进行权限修改还是Disable所有权限；第三个参数指明要修改的权限，是一个指向 TOKEN_PRIVILEGES结构的指针; 第四个参数是结构NewStateS的长度，如果NewState为空，该参数应为NULL；第五个参数也是一个指向 TOKEN_PRIVILEGES结构的指针，存放修改前的访问权限的信息，可空；最后一个参数为实际PreviousState结构返回的大小。

通过上述的调用，就可以提升OpenProcess()访问权限了。

 

举例说明，在OpenProcess()之前调用该函数。

bool enableDebugPriv()
{
    HANDLE hToken;
    LUID sedebugnameValue;
    TOKEN_PRIVILEGES tkp;

    if (!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken))
    {
        return false;
    }

    if (!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &sedebugnameValue))

    {
        CloseHandle(hToken);
        return false;
    }

    tkp.PrivilegeCount = 1;
    tkp.Privileges[0].Luid = sedebugnameValue;
    tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
    if (!AdjustTokenPrivileges(hToken, FALSE, &tkp, sizeof(tkp), NULL, NULL))

    {
        CloseHandle(hToken);
        return false;
    }
    return true;
}