【微软漏洞分析】Windows-Research-Kernel-WRK 代码分析 安全例程(2) 令牌和安全描述符

于 2022-11-08 12:12:48 发布
阅读量1k 收藏
点赞数 1
分类专栏: 微软漏洞分析 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fastergohome/article/details/127746663
版权

目录

访问控制模型ACM(Access Control Model)

令牌

访问令牌

访问令牌一般包括两个部分:
一部分是令牌所表示的用户(包括会话ID、用户及其所属的组),这些信息告诉Token属于哪个用户的;
另一部分是“特权列表”(Privilege),这用来告诉进程能够进行特定的系统操作,如关闭系统、修改系统时间、加载设备驱动等。

管理员令牌

管理员令牌有二种:
当使用高特权的管理员帐号登录时,系统会同时创建两个访问令牌,其中一个是完全的管理员访问令牌
另一个是经过“过滤”的标准用户访问令牌(filtered token)-虽然以管理员登录,但应用程序默认是以标准用户权限的运行

主令牌

每个进程都有一个Token(被称为主令牌)。可以从父进程处继承(也可以修改,但其最高权限不会超过登录账户的最高权限。即只能在进程的边界上提升权限!

模仿令牌

线程默认下会使用进程的令牌来访问对象。但它也可以拥有自己的访问令牌(被称为模仿令牌(ImperonaitonToken)。但该令牌不是必须的,线程可以不拥有模仿令牌。模仿令牌的用处,如当一个线程要找开一个文件,但该文件只有User2才能打开,而主令牌属于User1,这时线程就可以模仿一个User2令牌来打开这个文件。

操作Token的UserMode API

①OpenProcessToken、OpenThreadToken
②AdjustTokenPrivileges、AdjustTokenGroups
③GetTokenInformation、SetTokenInformation
④LookupPrivilegeValue、PrivilegeCheck
⑤LookupPrivilegeDisplayName、LookupPrivilegeName

数据结构

在Windows-Research-Kernel-WRK中没有定义TOKEN的数据结构,属于undocumented的结构,主要原因是不同的操作系统版本这个数据结构的定义都有区别,以下通过kd导出的数据结构可以作为参考:
在这里插入图片描述

实际数据

参考下面的组图可以对照查看数据结构中的值。

主属性:
在这里插入图片描述
UserAndGroups:
在这里插入图片描述
Privileges:
在这里插入图片描述
DefaultDacl:
在这里插入图片描述
Misc:
在这里插入图片描述

字段分析

①Privileges定义了一个Token中的特权列表,指明该Token可以拥有哪些特权。
②ImpersonationLevel定义了Token的模拟级别,这个enum的定义如下:
在这里插入图片描述
③AuditPolicy 对应的数据结构TOKEN_AUDIT_POLICY如下:
在这里插入图片描述
④TokenType 对应的enum值如下:
在这里插入图片描述
⑤ProxyData 对应的数据结构SECURITY_TOKEN_PROXY_DATA如下:
在这里插入图片描述
⑥AuditData 对应的数据结构SECURITY_TOKEN_AUDIT_DATA如下:
在这里插入图片描述
TokenFlags 对应的常量定义如下:

#define TOKEN_HAS_TRAVERSE_PRIVILEGE    0x01
#define TOKEN_HAS_BACKUP_PRIVILEGE      0x02
#define TOKEN_HAS_RESTORE_PRIVILEGE     0x04
#define TOKEN_HAS_ADMIN_GROUP           0x08
#define TOKEN_IS_RESTRICTED             0x10
#define TOKEN_SESSION_NOT_REFERENCED    0x20
#define TOKEN_SANDBOX_INERT             0x40
#define TOKEN_HAS_IMPERSONATE_PRIVILEGE 0x80

内核函数

在这里插入图片描述
①创建Token:SeMakeSystemToken、SeMakeAnonymousLogonToken、SeMakeAnonymousLogonTokenNoEveryone
②分配Token:SeAssignPrimaryToken、SeDeassignPrimaryToken、SeExchangePrimaryToken
③裁剪Token:SeFilterToken、SeFastFilterToken、SeSubProcessToken、SeCopyClientToken
④查询Token信息:SeQueryInformationToken、SeQueryAuthenticationIdToken、SeQuerySessionIdToken、SeGetTokenControlInformation、SeTokenType、SeTokenImpersonationLevel、SeTokenIsAdmin、SeTokenIsRestricted
⑤机制查询:SeTokenCanImpersonate、SeDetailedAuditingWithToken、SeIsChildToken、SeIsChildTokenByPointer、SeIsSiblingToken、SeIsSiblingTokenByPointer

安全描述符

安全描述符(SecurityDescriptor)——是访问控制模型的灵魂,每个内核对象中都一个SecurityDescriptor结构体的指针,指向一个SD,该SD的结构体如下:
在这里插入图片描述

数据结构分析

①SD中描述了该对象的拥有者Owner(用户Sid)、SACL和DACL等信息。
②SACL:系统访问控制列表,用来记录某个安全对象被访问的情况,一般不用关心。
③DACL:自主访问控制列表,记录了哪些用户可以(/不可以)以何种方式访问该对象(重要)。

字段分析

内核函数

①SeCaptureSecurityDescriptor、SeReleaseSecurityDescriptor
②SeAssignSecurity、SeAssignSecurityEx、SeDeassignSecurity
③SeAccessCheck、SeFastTraverseCheck、SeValidSecurityDescriptor
④SeQuerySecurityDescriptorInfo、SeSetSecurityDescriptorInfo、SeSetSecurityDescriptorInfoEx
⑤SeAuditingFileEvents、SeAuditingFileEventsWithContext、SeAuditingHardLinkEvents、SeAuditingHardLinkEventsWithContext、SeAuditingFileOrGlobalEvents
⑥SeGetWorldRights、SeAssignWorldSecurityDescriptor、SeComputeQuotaInformationSize

3riC5r
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
初窥Windows内核——学习Windows Research Kernel手记(一)
SaiCT的专栏
12-19 8662
 小序 当初只是抱着试一试的想法去找老师的,结果就这么开始了。从一开始拿到Windows Research Kernel(以后简称WRK)我就知道这些材料,包括源码、文档、实等等,都是十分难得的。使用是有限制的,只能用于教学研究,微软对于这些是有版权的,我们都要遵循其协议的要求种种。其实老师也说过,他自己对这个版权上的事也不是很清楚。那我当然就更不清楚了。大概知道不能用于商业,最
wrk-v1.2(Windows Research Kernel)
09-22
WRK的全称是“Windows Research Kernel”,它是微软为高校操作系统课程提供的可修改和跟踪的操作系统教学平台。它给出了Windows这个成功的商业操作系统的内核大部分代码,可以对其进行修改、编译,并且可以用这个内核启动Windows操作系统。可让学生将操作系统基本原理和商业操作系统内核联系起来,进一步加深对操作系统整体的理解。   微软的WRK计划(Windows Research Kernel),这个计划是让高校师生以及亲密的合作商有一个机会能够了解和学习windows的内核代码。WRK包含了以下模块:   * Processes   * Threads   * Virtual memory and cache managers   * I/O management   * The registry   * Executive functions, such as the kernel heap and synchronization   * Object manager   * Local procedure call mechanism   * Security reference monitor   * Low-level CPU management (thread scheduling, Asynchronous and Deferred Procedure calls, interrupt/trap handling, exceptions)
【微软漏洞分析Windows-Research-Kernel-WRK 代码分析 安全程(1) 综述、SECURITY_INFORMATION和SECURITY_SUBJECT_CONTEXT
重新启程
11-07 410
这篇是内核代码分析,以微软开源给大学的操作系统代码分析。主要讲安全程,其他牵涉到的会在讲解中穿插。
Windows 内核(WRK)编译
maomao171314的专栏
01-31 1105
引子 WRK是微软于 2006 年针对教育和学术界开放的Windows内核的部分源码, WRK(Windows Research Kernel)也就是Windows研究内核, 在WRK中不仅仅只提供了Windows内核模块的部分代码,其还提供了编译工具, 也就是通过这个编译工具,你可以将你的WRK编译成一个EXE文件, 也就是内核可执行模块,然后你可以利用这个EXE文件来取代操作系统本身的内核, 这样的话,下次开机的时候操作系统所加载的内核就是您编译的那个EXE...
Windows内核--源代码在哪里?(1.1)
编程语言技巧经验分享
11-02 2204
利用WinDbg调试Kernel, 可以得到内核数据结构,参照WRK源代码和深入解析Windows操作系统可以猜测到内核源码的可能长相,结合IDA等反编译工具和Windbg可以获取内核全貌。微软官方并不完全公开源代码, 想清楚Windows技术内幕,就需要逆向工具。大部分人能看到这篇帖子, 想必已经用过Windows系统多年了...
Windows-Research-Kernel-WRK-:Windows研究内核源代码-windows source code
03-25
Windows研究内核WRK- Windows研究内核源代码 版权所有(c)Microsoft Corporation。 版权所有。 如果您同意Windows Research Kernel源代码许可协议的条款(请参阅License.txt),则只能使用此代码。 如果您不同意...
Windows Research Kernel - WRK源码
09-26
WRK(Windows Research Kernel)的部分源码 - Windows内核部分源码(含未公开函数、结构体等)
windows实验-Wrk源码编译与进程模块分析
03-24
windows实验-Wrk源码编译与进程模块分析
wrk-study:Windows内核研究。 有一些关于wrk来源的注释或评论
02-03
wrk-study:Windows内核研究。 有一些关于wrk来源的注释或评论
windows内核情景分析 --- 权限管理
maomao171314的专栏
04-04 1683
Windows系统是支持多用户的。每个文件可以设置一个访问控制表(即ACL),在ACL中规定每个用户、每个组对该文件的访问权限。不过,只有Ntfs文件系统中的文件才支持ACL。 (Ntfs文件系统中,每个文件的ACL是作为文件的一个附加属性保存在文件中的)。 不仅ntfs文件支持ACL机制,每个内核对象也支持ACL,不过内核对象的ACL保存在对象头部的安全属性字段中,只存在于内存,对象一销毁,
WRK (windows Research Kernel )
01-20
WRK的全称是“Windows Research Kernel”,它是微软为高校操作系统课程提供的可修改和跟踪的操作系统教学平台。它给出了Windows这个成功的商业操作系统的内核大部分代码,可以对其进行修改、编译,并且可以用这个内核启动Windows操作系统。可让学生将操作系统基本原理和商业操作系统内核联系起来,进一步加深对操作系统整体的理解。
Windows内核源码WRK
03-18
WRK 是微软于 2006 年针对教育和学术界开放的 Windows 内核的部分源码, WRK(Windows Research Kernel)也就是 Windows 研究内核, 在 WRK 中不仅仅只提供了 Windows 内核模块的部分代码,其还提供了编译工具, 也就是通过这个编译工具,你可以将你的 WRK 编译成一个 EXE 文件, 这样的话,下次开机的时候操作系统所加载的内核就是您编译的那个 EXE 了。 也就是内核可执行模块,然后你可以利用这个 EXE 文件来取代操作系统本身的内核, 这样的话,下次开机的时候操作系统所加载的内核就是您编译的那个 EXE 了。
windows research kernel (1).7z
01-03
wrk最全版本,解压密码: EEy4NBT*a@VsFltwfSTO!1bumAekYnXNbXWeXWA5Rxc#U%n3@S2L!W$N2%ColFLUB&ShzVyT2Eq4d3IBkAbL%4QEMy^HystyEP&
WindowsResearchKernel
03-27
Windows Research Kernel 内核源代码
Windows内核原理与实现 微软对高校提供的系统源码
12-21
微软对此光盘虽免费索取的政策,但非大专院校教师几乎不可获得。分享给正在读《Windows内核原理与实现》此书的人。可以上机练习了。
Windows Research Kernel简介
naiveC的专栏
11-29 7640
WRK简介 什么是WRK WRK的全称是“Windows Research Kernel”,它是微软为高校操作系统课程提供的可修改和跟踪的操作系统教学平台。它给出了Windows这个成功的商业操作系统的内核大部分代码,可以对其进行修改、编译,并且可以用这个内核启动Windows操作系统。可让学生将操作系统基本原理和商业操作系统内核联系起来,进一步加深对操作系统整体的理解。 WRK的
初窥Windows内核——学习Windows Research Kernel手记(三)
SaiCT的专栏
12-20 3725
STEP2——记录/恢复线程运行上下文    首先说明一下什么是“陷阱帧”。当一个在用户模式执行的线程请求一个系统调用,在x86平台上,也就是一条INT指令,或者sysenter指令,随即就会通过一个软件中断陷入的到内核。这时CPU的工作状态由之前的用户态切换到内核态(也就是驱动开发中常说的ring3到ring0)。在这个切换过程中,系统要做一些前期的工作。因为系统服务程是占用调用者
Windows内核--WRK和真实的Windows内核源代码差多少?(1.3)
编程语言技巧经验分享
11-05 1265
前面有提到WRK是微软官方公布的XP/Server 2003供学习和研究的内核源代码。WRK1.2究竟占据源代码的多少比?
windows research kernel
最新发布
08-06
Windows Research Kernel(WRK)是微软研究院开发的一个实验性操作系统内核。它是微软用来进行内核研究和开发的平台,主要用于测试新的操作系统构建和设计理念。 WRK的目标是提供一个可依赖、可扩展和高性能的内核平台,以便研究人员可以对操作系统进行深入的研究和开发。WRK是基于Windows操作系统的一个子集,它包含了一系列的内核组件和驱动程序,如存储管理、进程调度、设备驱动等等。与传统的Windows操作系统不同,WRK是专门为研究目的而设计的,它提供了更多的内核可见性和调试特性,便于研究人员分析内核的行为和性能。 WRK的一个重要特点是可扩展性。它允许研究人员根据不同的需求扩展和改进内核组件,以实现新的操作系统功能或改进性能。这种可扩展性使得研究人员可以快速地实验和验证自己的想法,并在内核级别上进行动态的调整和优化。 另外,WRK还提供了一套强大的工具集,用于执行内核级别的调试和分析。这些工具可以帮助研究人员追踪内核的执行路径、检测和修复潜在的问题,从而加快内核开发过程。 总之,Windows Research Kernel是微软研究院为操作系统内核研究和开发而设计的一个实验性平台。它提供了高可见性、可扩展性和强大的调试工具,帮助研究人员更好地理解和优化操作系统内核。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值