windows 访问控制模型(一)

最新推荐文章于 2023-07-17 22:07:47 发布
最新推荐文章于 2023-07-17 22:07:47 发布
阅读量4.7k 收藏 9
点赞数 1
分类专栏: 内核编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hjxyshell/article/details/38502933
版权

最近研究了下windows的访问控制模型,于是想写篇博客加深下印象。有些内容直接转子互联网(已标记)


下面内容转自:

***************************************************************************************************

标 题: 【原创】白话windows之 访问控制模型(Access Control Model)
作 者: ddlx
时 间: 2013-06-10,21:38:41
链 接: http://bbs.pediy.com/showthread.php?t=173381

***********************************************************************************


当一个线程使用Open*打开一个内核对象时,会发生什么?

有两种可能:

1. 打开成功,拿到句柄

2. 打开失败

这不是废话么?!为啥打开失败呢?有两种可能:

1. 当前线程不具有指定的特权

2.  权限不足(由dwDesiredAccess参数指定权限)

这个时候就引入了今天的主题:令牌(包含特权列表)和安全描述符(描述用户权限)。


Token

token是什么?对了,他就是一个令牌。就像原先钦差大臣手里面的上方宝剑一样,上可惩天子,下可斩贪官!所以千万不要小看它哦亲~。那Token中都有些神马东东呢?

先看一下他的数据结构:

代码: 
lkd> dt nt!_token
   +0x000 TokenSource      : _TOKEN_SOURCE
   +0x010 TokenId          : _LUID
   +0x018 AuthenticationId : _LUID
   +0x020 ParentTokenId    : _LUID
   +0x028 ExpirationTime   : _LARGE_INTEGER
   +0x030 TokenLock        : Ptr32 _ERESOURCE
   +0x038 AuditPolicy      : _SEP_AUDIT_POLICY
   +0x040 ModifiedId       : _LUID
   +0x048 SessionId        : Uint4B
   +0x04c UserAndGroupCount : Uint4B
   +0x050 RestrictedSidCount : Uint4B
   +0x054 PrivilegeCount   : Uint4B
   +0x058 VariableLength   : Uint4B
   +0x05c DynamicCharged   : Uint4B
   +0x060 DynamicAvailable : Uint4B
   +0x064 DefaultOwnerIndex : Uint4B
   +0x068 UserAndGroups    : Ptr32 _SID_AND_ATTRIBUTES
   +0x06c RestrictedSids   : Ptr32 _SID_AND_ATTRIBUTES
   +0x070 PrimaryGroup     : Ptr32 Void
   +0x074 Privileges       : Ptr32 _LUID_AND_ATTRIBUTES
   +0x078 DynamicPart      : Ptr32 Uint4B
   +0x07c DefaultDacl      : Ptr32 _ACL
   +0x080 TokenType        : _TOKEN_TYPE
   +0x084 ImpersonationLevel : _SECURITY_IMPERSONATION_LEVEL
   +0x088 TokenFlags       : Uint4B
   +0x08c TokenInUse       : UChar
   +0x090 ProxyData        : Ptr32 _SECURITY_TOKEN_PROXY_DATA
   +0x094 AuditData        : Ptr32 _SECURITY_TOKEN_AUDIT_DATA
   +0x098 OriginatingLogonSession : _LUID
   +0x0a0 VariablePart     : Uint4B
可以看出包含的东西很多:会话Id、用户和组列表、特权列表、默认DACL等。这些都有什么用呢?

会话Id,用户和组列表这些告诉我们Token是属于哪个用户的。

特权列表,这个是表示该Token都可以干哪些坏事,拥有的权限越多越牛B哈哈

我们既然知道了Token是何方神圣了,那谁可以拥有Token呢?对了,只有进程和线程才能拥有!

每一个进程都拥有一个Token(这个是必须有的),该Token叫 主令牌 。可以从父进程处继承,也可以是后来设置的,使用NtSetInformationProcess,Class=ProcessAccessToken。

每个线程可以拥有一个ImpersonationToken( 模仿令牌 )。该令牌不是必须的,线程可以不拥有模仿令牌。

由此看来一个线程最多拥有2个令牌:主令牌和模仿令牌,最少拥有一个令牌:主令牌。

设置线程的模仿令牌的方法:NtSetInformationThread, calss=ThreadImpersonationToken。

既然有了主令牌,模仿令牌有什么用呢?

当一个线程要加载一个驱动,但发现主令牌没有加载驱动特权,它就可以模仿主令牌,然后在模仿令牌中加入加载驱动特权

当一个线程想要打开一个文件,但是该文件只有User2用户才能打开,主令牌却是属于User1用户。这时候可以模仿一个User2用户的令牌,这样就可以打开该文件了。

下面我们看一下都有哪些特权

代码: 
SeAssignPrimaryTokenPrivilege
SeAuditPrivilege
SeBackupPrivilege
SeChangeNotifyPrivilege
SeCreateGlobalPrivilege
SeCreatePagefilePrivilege
SeCreatePermanentPrivilege
SeCreateSymbolicLinkPrivilege
SeCreateTokenPrivilege
SeDebugPrivilege
SeEnableDelegationPrivilege
SeImpersonatePrivilege
SeIncreaseBasePriorityPrivilege
SeIncreaseQuotaPrivilege
SeIncreaseWorkingSetPrivilege
SeLoadDriverPrivilege
SeLockMemoryPrivilege
SeMachineAccountPrivilege
SeManageVolumePrivilege
SeProfileSingleProcessPrivilege
SeRelabelPrivilege
SeRemoteShutdownPrivilege
SeRestorePrivilege
SeSecurityPrivilege
SeShutdownPrivilege
SeSyncAgentPrivilege
SeSystemEnvironmentPrivilege
SeSystemProfilePrivilege
SeSystemtimePrivilege
SeTakeOwnershipPrivilege
SeTcbPrivilege
SeTimeZonePrivilege
SeTrustedCredManAccessPrivilege
SeUndockPrivilege
SeUnsolicitedInputPrivilege
哈哈,好多哦,这么多特权,并不都会在Token中出现。不在Token中出现的特权,是没办法再次添加到该Token中的!。

简单说明一下常见的。其他的看MSDN吧: http://msdn.microsoft.com/en-us/libr...=vs.85%29.aspx

SeCreateGlobalPrivilege

创建全局的特权。这个特权直接影响到你可不可以创建一个有名字的全局事件、互斥量、内存区等。

SeDebugPrivilege

调试特权。顾名思义,跟调试有关。该特权直接影响到你能否打开系统进程如system、winlogin.exe等,并调试他们。

SeLoadDriverPrivilege

加载驱动特权。想加载驱动?那就必须有改权限。

SeImpersonatePrivilege

模仿特权。要想设置线程的模仿令牌,就要有该权限

SeCreateTokenPrivilege

创建令牌特权。没有该特权,就无法创建一个新的令牌。


一个Token中的特权列表中,已经指明该Token可以拥有哪些特权。不过有些特权并不是置位有效的,如果要使用该特权,需要使用SetTokenInformation修改。但是,特权列表中没有的特权,是不能添加进去的(当然你非要添加的话还是有办法的)!

下面我们用windbg看一下windbg.exe的Token

代码: 
lkd> !process 0 1 windbg.exe
PROCESS 89031da0  SessionId: 0  Cid: 0c68    Peb: 7ffdb000  ParentCid: 0530
    DirBase: 09f602e0  ObjectTable: e1f25ba0  HandleCount:  86.
    Image: windbg.exe
    VadRoot 88c553c0 Vads 87 Clone 0 Private 2296. Modified 3959. Locked 1.
    DeviceMap e20447c8
    Token                             e108d258
    ElapsedTime                       02:26:28.813
    UserTime                          00:00:01.171
    KernelTime                        00:00:06.078
    QuotaPoolUsage[PagedPool]         92740
    QuotaPoolUsage[NonPagedPool]      3600
    Working Set Sizes (now,min,max)  (1803, 50, 345) (7212KB, 200KB, 1380KB)
    PeakWorkingSetSize                3848
    VirtualSize                       60 Mb
    PeakVirtualSize                   61 Mb
    PageFaultCount                    7861
    MemoryPriority                    BACKGROUND
    BasePriority                      8
    CommitCharge                      2704

lkd> !token e108d258
_TOKEN e108d258
TS Session ID: 0
User: S-1-5-21-2025429265-1682526488-1801674531-1005
Groups: 
 00 S-1-5-21-2025429265-1682526488-1801674531-513
    Attributes - Mandatory Default Enabled 
 01 S-1-1-0
    Attributes - Mandatory Default Enabled 
 02 S-1-5-32-544
    Attributes - Mandatory Default Enabled Owner 
 03 S-1-5-32-545
    Attributes - Mandatory Default Enabled 
 04 S-1-5-4
    Attributes - Mandatory Default Enabled 
 05 S-1-5-11
    Attributes - Mandatory Default Enabled 
 06 S-1-5-5-0-5125624
    Attributes - Mandatory Default Enabled LogonId 
 07 S-1-2-0
    Attributes - Mandatory Default Enabled 
Primary Group: S-1-5-21-2025429265-1682526488-1801674531-513
Privs: 
 00 0x000000017 SeChangeNotifyPrivilege           Attributes - Enabled Default 
 01 0x000000008 SeSecurityPrivilege               Attributes - 
 02 0x000000011 SeBackupPrivilege                 Attributes - 
 03 0x000000012 SeRestorePrivilege                Attributes - 
 04 0x00000000c SeSystemtimePrivilege             Attributes - 
 05 0x000000013 SeShutdownPrivilege               Attributes - 
 06 0x000000018 SeRemoteShutdownPrivilege         Attributes - 
 07 0x000000009 SeTakeOwnershipPrivilege          Attributes - 
 08 0x000000014 SeDebugPrivilege                  Attributes - Enabled 
 09 0x000000016 SeSystemEnvironmentPrivilege      Attributes - 
 10 0x00000000b SeSystemProfilePrivilege          Attributes - 
 11 0x00000000d SeProfileSingleProcessPrivilege   Attributes - 
 12 0x00000000e SeIncreaseBasePriorityPrivilege   Attributes - 
 13 0x00000000a SeLoadDriverPrivilege             Attributes - Enabled 
 14 0x00000000f SeCreatePagefilePrivilege         Attributes - 
 15 0x000000005 SeIncreaseQuotaPrivilege          Attributes - 
 16 0x000000019 SeUndockPrivilege                 Attributes - Enabled 
 17 0x00000001c SeManageVolumePrivilege           Attributes - 
 18 0x00000001d SeImpersonatePrivilege            Attributes - Enabled Default 
 19 0x00000001e SeCreateGlobalPrivilege           Attributes - Enabled Default 
Authentication ID:         (0,4e3f87)
Impersonation Level:       Anonymous
TokenType:                 Primary
Source: User32             TokenFlags: 0x89 ( Token in use )
Token ID: 4f3891           ParentToken ID: 0
Modified ID:               (0, 4ffaa5)
RestrictedSidCount: 0      RestrictedSids: 00000000


SecurityDescriptor

安全描述符(sd)是访问控制模型的灵魂。所有的内核对象都拥有安全描述符。包括Token内核对象。

先看一下安全描述符的结构:

代码: 
lkd> dt nt!_Security_Descriptor
   +0x000 Revision         : UChar
   +0x001 Sbz1             : UChar
   +0x002 Control          : Uint2B
   +0x004 Owner            : Ptr32 Void
   +0x008 Group            : Ptr32 Void
   +0x00c Sacl             : Ptr32 _ACL
   +0x010 Dacl             : Ptr32 _ACL
安全描述符存放在内核对象的对象头结构(每个内核对象由两部分构成,一个是相同结构的对象头,还有一个不同结构的对象体)中:

代码: 
lkd> dt nt!_Object_Header
   +0x000 PointerCount     : Int4B
   +0x004 HandleCount      : Int4B
   +0x004 NextToFree       : Ptr32 Void
   +0x008 Type             : Ptr32 _OBJECT_TYPE
   +0x00c NameInfoOffset   : UChar
   +0x00d HandleInfoOffset : UChar
   +0x00e QuotaInfoOffset  : UChar
   +0x00f Flags            : UChar
   +0x010 ObjectCreateInfo : Ptr32 _OBJECT_CREATE_INFORMATION
   +0x010 QuotaBlockCharged : Ptr32 Void
   +0x014 SecurityDescriptor : Ptr32 Void
   +0x018 Body             : _QUAD  //对象体(可知对象体地址 - 4 即为安全描述符的地址)
_Object_Header结构vista以后有了不少的变化,但是用来存放安全描述符的偏移位置没变,还是0x014

先简要介绍一下sd。   sd中描述了用户Sid,DACL、SACL。

SACL是系统访问控制列表,是用来做审计用的,一般不用关心。

DACL是自主访问控制列表,记录了哪些用户可以(/不可以)以何种方式访问该对象。

安全描述符查看方法:

1. 在对象上查看其属性。如文件,点击右键选择“属性”,找到“安全”选项卡,点击“高级”按钮。弹出的对话筐中,“权限”选项卡就是DACL,"审核"选项卡是SACL,“所有者”是Owner、Group。

2. 用windbg的!sd指令

代码: 
lkd> !object \BaseNamedObjects\ShimSharedMemory
Object: e1acd3a8  Type: (896732b0) Section
    ObjectHeader: e1acd390 (old version)
    HandleCount: 15  PointerCount: 16
    Directory Object: e15289d0  Name: ShimSharedMemory
lkd> !sd poi(e1acd3a8-4)&ffffffff8     //这里低三位取0 不是很懂
ReadVirtual: e1a94680 not properly sign extended
ReadVirtual: e1a94680 not properly sign extended
ReadVirtual: e1a94690 not properly sign extended
ReadVirtual: e1a94690 not properly sign extended
ReadVirtual: e1a94664 not properly sign extended
ReadVirtual: e1a94664 not properly sign extended
->Revision: 0x1
->Sbz1    : 0x0
->Control : 0x8004
            SE_DACL_PRESENT
            SE_SELF_RELATIVE
->Owner   : S-1-5-32-544
->Group   : S-1-5-18
->Dacl    : 
->Dacl    : ->AclRevision: 0x2
->Dacl    : ->Sbz1       : 0x0
->Dacl    : ->AclSize    : 0x1c
->Dacl    : ->AceCount   : 0x1
->Dacl    : ->Sbz2       : 0x0
->Dacl    : ->Ace[0]: ->AceType: ACCESS_ALLOWED_ACE_TYPE
->Dacl    : ->Ace[0]: ->AceFlags: 0x0
->Dacl    : ->Ace[0]: ->AceSize: 0x14
->Dacl    : ->Ace[0]: ->Mask : 0x0003001f
->Dacl    : ->Ace[0]: ->SID: S-1-1-0

->Sacl    :  is NULL
当打开一个对象时,会从线程所拥有的令牌中(如果存在模仿令牌则使用模仿令牌,否则使用主令牌)获取用户名和用户所在组列表,与对象的安全描述符中的DACL比较,这个时候会发生如下情况之一:

1. 对象的DACL==Null,则线程拥有完全的访问权限。

2. 对象的DACL不为Null,但是AceCount ==0(ACE,访问控制项),则拒绝任何线程访问。

3. 遍历DACL,找到跟令牌中用户或组一致的Ace,如果该Ace指明没有拥有制定的访问权限,则直接退出安全检查函数,并拒绝该线程访问。

4. 遍历DACL,没找到跟令牌中用户或组一致的Ace,并拒绝该线程访问。

5. 遍历DACL,找到跟令牌中用户或组一致的Ace,如果该Ace指明拥有制定的访问权限,则直接退出安全检查函数,并允许该线程访问。


为了更好的理解sd,给大家举个例子:

代码: 
#include <windows.h>
#include <sddl.h>

BOOL InitSecurityDescriptor( SECURITY_ATTRIBUTES& sa, TCHAR* pszSD )
{
    sa.nLength = sizeof(SECURITY_ATTRIBUTES);
    sa.bInheritHandle = FALSE; 
    return ConvertStringSecurityDescriptorToSecurityDescriptor(
                pszSD,
                SDDL_REVISION_1,
                &(sa.lpSecurityDescriptor),
                NULL);
}
void ReleaseSecurityDescriptor( SECURITY_ATTRIBUTES& sa )
{
    LocalFree(sa.lpSecurityDescriptor);
}
int _tmain(int argc, _TCHAR* argv[])
{
    SECURITY_ATTRIBUTES sa;
    //创建一个局部名字事件(由于是局部的,多会话时,每个会话都创建一个同名的事件)
    //第一个参数SECURITY_ATTRIBUTES传NULL,则使用进程TOKEN的默认DACL。
    //默认DACL有两个ACE
    //ACE1: 当前用户,拥有全部权限(读、写)
    //ACE2: system用户,拥有全部权限(读、写)
    HANDLE hEvent1 = CreateEvent( NULL, FALSE, FALSE, TEXT("Event1"));
    //创建一个局部名字事件,与上面是等价的
    //"D:(D;;GR;;;WD)(A;;GW;;;WD)" 的意思是: DACL添加Everyone用户,拒绝读,允许写权限
    InitSecurityDescriptor( sa, TEXT("D:(D;;GR;;;WD)(A;;GW;;;WD)") );
    HANDLE hEvent2 = CreateEvent( &sa, FALSE, FALSE, TEXT("Local\\Event2"));
    ReleaseSecurityDescriptor(sa);
    HANDLE hEventX = OpenEvent(EVENT_MODIFY_STATE, FALSE, TEXT("Local\\Event2"));
    if( hEventX != NULL )
    {
        printf( "进入这里,有权限\n" );
        CloseHandle(hEventX);
    }
    hEventX = OpenEvent(EVENT_ALL_ACCESS, FALSE, TEXT("Local\\Event2"));
    if( hEventX == NULL )
    {
        printf( "进入这里,无权限。gle:%d\n", GetLastError() );
    }
    //创建一个全局名字事件
    //由于其只给当前用户和system分配了权限,所以虽然是全局事件,但是其他会话也是无法访问的
    HANDLE hEvent3 = CreateEvent( NULL, FALSE, FALSE, TEXT("Global\\Event3"));

    //手动创建一个SECURITY_ATTRIBUTES,使用SDDL语法
    //D:(A;;GA;;;WD) 的意思是: DACL添加Everyone用户,并让其拥有全部权限
    InitSecurityDescriptor( sa, TEXT("D:(A;;GA;;;WD)") );
    //创建一个全局名字事件,可以被其他会话访问
    HANDLE hEvent4 = CreateEvent( &sa, FALSE, FALSE, TEXT("Global\\Event4"));
    ReleaseSecurityDescriptor(sa);
    printf( "%p, %p, %p, %p\n", hEvent1, hEvent2, hEvent3, hEvent4 );
    getchar();
    CloseHandle(hEvent1);
    CloseHandle(hEvent2);
    CloseHandle(hEvent3);
    CloseHandle(hEvent4);
    return 0;
}
上述例子在会话1中运行后结果:
代码: 
lkd> !object \Sessions\1\BaseNamedObjects\Event1
Object: 89584ac8  Type: (896762f8) Event
    ObjectHeader: 89584ab0 (old version)
    HandleCount: 1  PointerCount: 2
    Directory Object: e19721e0  Name: Event1
lkd> !sd poi(89584ac8-4)&fffffff8
->Revision: 0x1
->Sbz1    : 0x0
->Control : 0x8004
            SE_DACL_PRESENT
            SE_SELF_RELATIVE
->Owner   : S-1-5-21-2025429265-1682526488-1801674531-1006//当前用户Sid
->Group   : S-1-5-21-2025429265-1682526488-1801674531-513//管理员组Sid
->Dacl    : 
->Dacl    : ->AclRevision: 0x2
->Dacl    : ->Sbz1       : 0x0
->Dacl    : ->AclSize    : 0x64
->Dacl    : ->AceCount   : 0x3
->Dacl    : ->Sbz2       : 0x0
->Dacl    : ->Ace[0]: ->AceType: ACCESS_ALLOWED_ACE_TYPE//允许
->Dacl    : ->Ace[0]: ->AceFlags: 0x0
->Dacl    : ->Ace[0]: ->AceSize: 0x14
->Dacl    : ->Ace[0]: ->Mask : 0x001f0003//完全控制权限
->Dacl    : ->Ace[0]: ->SID: S-1-5-18//system Sid

->Dacl    : ->Ace[1]: ->AceType: ACCESS_ALLOWED_ACE_TYPE
->Dacl    : ->Ace[1]: ->AceFlags: 0x0
->Dacl    : ->Ace[1]: ->AceSize: 0x24
->Dacl    : ->Ace[1]: ->Mask : 0x001f0003
->Dacl    : ->Ace[1]: ->SID: S-1-5-21-2025429265-1682526488-1801674531-1006//会话1用户的Sid

->Dacl    : ->Ace[2]: ->AceType: ACCESS_ALLOWED_ACE_TYPE
->Dacl    : ->Ace[2]: ->AceFlags: 0x0
->Dacl    : ->Ace[2]: ->AceSize: 0x24
->Dacl    : ->Ace[2]: ->Mask : 0x001f0003
->Dacl    : ->Ace[2]: ->SID: S-1-5-21-2025429265-1682526488-1801674531-1006

->Sacl    :  is NULL
lkd> !object \Sessions\1\BaseNamedObjects\Event2
Object: 893db418  Type: (896762f8) Event
    ObjectHeader: 893db400 (old version)
    HandleCount: 1  PointerCount: 2
    Directory Object: e19721e0  Name: Event2
lkd> !sd poi(893db418-4)&fffffff8
->Revision: 0x1
->Sbz1    : 0x0
->Control : 0x8004
            SE_DACL_PRESENT
            SE_SELF_RELATIVE
->Owner   : S-1-5-21-2025429265-1682526488-1801674531-1006
->Group   : S-1-5-21-2025429265-1682526488-1801674531-513
->Dacl    : 
->Dacl    : ->AclRevision: 0x2
->Dacl    : ->Sbz1       : 0x0
->Dacl    : ->AclSize    : 0x30
->Dacl    : ->AceCount   : 0x2
->Dacl    : ->Sbz2       : 0x0
->Dacl    : ->Ace[0]: ->AceType: ACCESS_DENIED_ACE_TYPE//拒绝
->Dacl    : ->Ace[0]: ->AceFlags: 0x0
->Dacl    : ->Ace[0]: ->AceSize: 0x14
->Dacl    : ->Ace[0]: ->Mask : 0x00020001//读权限
->Dacl    : ->Ace[0]: ->SID: S-1-1-0//Everyone SID

->Dacl    : ->Ace[1]: ->AceType: ACCESS_ALLOWED_ACE_TYPE
->Dacl    : ->Ace[1]: ->AceFlags: 0x0
->Dacl    : ->Ace[1]: ->AceSize: 0x14
->Dacl    : ->Ace[1]: ->Mask : 0x00020002//写权限
->Dacl    : ->Ace[1]: ->SID: S-1-1-0

->Sacl    :  is NULL
lkd> !object \BaseNamedObjects\Event3
Object: 8945d7d0  Type: (896762f8) Event
    ObjectHeader: 8945d7b8 (old version)
    HandleCount: 1  PointerCount: 2
    Directory Object: e15289d0  Name: Event3
lkd> !sd poi(8945d7d0-4)&fffffff8
->Revision: 0x1
->Sbz1    : 0x0
->Control : 0x8004
            SE_DACL_PRESENT
            SE_SELF_RELATIVE
->Owner   : S-1-5-21-2025429265-1682526488-1801674531-1006
->Group   : S-1-5-21-2025429265-1682526488-1801674531-513
->Dacl    : 
->Dacl    : ->AclRevision: 0x2
->Dacl    : ->Sbz1       : 0x0
->Dacl    : ->AclSize    : 0x40
->Dacl    : ->AceCount   : 0x2
->Dacl    : ->Sbz2       : 0x0
->Dacl    : ->Ace[0]: ->AceType: ACCESS_ALLOWED_ACE_TYPE
->Dacl    : ->Ace[0]: ->AceFlags: 0x0
->Dacl    : ->Ace[0]: ->AceSize: 0x24
->Dacl    : ->Ace[0]: ->Mask : 0x001f0003
->Dacl    : ->Ace[0]: ->SID: S-1-5-21-2025429265-1682526488-1801674531-1006

->Dacl    : ->Ace[1]: ->AceType: ACCESS_ALLOWED_ACE_TYPE
->Dacl    : ->Ace[1]: ->AceFlags: 0x0
->Dacl    : ->Ace[1]: ->AceSize: 0x14
->Dacl    : ->Ace[1]: ->Mask : 0x001f0003
->Dacl    : ->Ace[1]: ->SID: S-1-5-18

->Sacl    :  is NULL
lkd> !object \BaseNamedObjects\Event4
Object: 8912ca78  Type: (896762f8) Event
    ObjectHeader: 8912ca60 (old version)
    HandleCount: 1  PointerCount: 2
    Directory Object: e15289d0  Name: Event4
lkd> !sd poi(8912ca78-4)&fffffff8
->Revision: 0x1
->Sbz1    : 0x0
->Control : 0x8004
            SE_DACL_PRESENT
            SE_SELF_RELATIVE
->Owner   : S-1-5-21-2025429265-1682526488-1801674531-1006
->Group   : S-1-5-21-2025429265-1682526488-1801674531-513
->Dacl    : 
->Dacl    : ->AclRevision: 0x2
->Dacl    : ->Sbz1       : 0x0
->Dacl    : ->AclSize    : 0x1c
->Dacl    : ->AceCount   : 0x1
->Dacl    : ->Sbz2       : 0x0
->Dacl    : ->Ace[0]: ->AceType: ACCESS_ALLOWED_ACE_TYPE
->Dacl    : ->Ace[0]: ->AceFlags: 0x0
->Dacl    : ->Ace[0]: ->AceSize: 0x14
->Dacl    : ->Ace[0]: ->Mask : 0x001f0003
->Dacl    : ->Ace[0]: ->SID: S-1-1-0

->Sacl    :  is NULL

寒江雪语
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows访问控制模型第3部分
04-11
在本系列的第三部分中,我们将浏览.NET v2.0中的新访问控制类。
Windows线程和消息队列
ypy_datou的专栏
02-10 392
一、桌面窗口 启动windows系统,登录用户拥有一个会话(Sessions),一个会话拥有一个私有对象命名空间(\BaseNamedObjects),也拥有多个窗口站(WindowsStation),其中只有一个窗口站是交互式的,其他窗口站是非交互的。这个交互式窗口站至少拥有三个桌面:默认桌面、登录桌面、屏保桌面。默认桌面是系统定义的桌口,这个窗口绘制屏幕的背景,作为windows应用程序显示窗口的基础。所有window应用程序窗口都与该默认桌面窗口绑定。应用程序窗口都是用来显示输出和从用户得...
VB读写进程句柄-共享内存-内存映射CreateFileMapping
追逐光芒,追随内心
08-26 952
共享内存 其实就是 一个 句柄 可以用工具查看进程句柄 中就可以发现,类似 互斥体一样的东西 然后共享内存 ,创建的是一个句柄名称 "Global\{FD921876-60EB-4799-A084-872BEDB29151}") 不过这个东西在 用工具查看进程句柄的时候 发现 并没有 Global\ 这个字符串名,而是 句柄类型 句柄名称 Section \BaseNamedObjects\{FD921876-60EB-4799-A084-872BEDB29151}...
判断进程是否是.Net Core及其版本
q6771020的博客
06-24 467
阅读Process Hacker的代码发现存在两种做法; 参见函数PhGetProcessIsDotNetEx 1、 NtOpenSection尝试打开 L"\\BaseNamedObjects\\Cor_Private_IPCBlock_v4_" .Net Core 4.0 NtOpenSection尝试打开 L"\\BaseNamedObjects\\Cor_Private_IPCBlock_" .Net Core 2.0 NtOpenFile 打开 L"\\Device\\NamedPip.
钉钉windows版多开
冰封的落叶的博客
12-22 4053
钉钉windows版多开 Process Explorer 显示Process Explorer句柄面板: 菜单View->Show Lower Pane 菜单View->Lower Pane View->handles 找到DingTalk.exe进程结束以下句柄 \Sessions\1\BaseNamedObjects\{{239B7D43-86D5-4E5C-ADE6-CEC42155B475}}DingTalk_loginframe \Sessions\1\
windows访问控制模型
点点灵犀
06-10 2201
当一个线程使用Open*打开一个内核对象时,会发生什么? 有两种可能: 1. 打开成功,拿到句柄 2. 打开失败 这不是废话么?!为啥打开失败呢?有两种可能: 1. 当前线程不具有指定的特权 2.  权限不足(由dwDesiredAccess参数指定权限) 这个时候就引入了今天的主题:令牌(包含特权列表)和安全描述符(描述用户权限)。 Token token是什么?对
Windows_10_System_Programming_2,Objects and Handles
zhaopeng01zp的博客
06-11 369
可以通过复制句柄(duplicating the handle)来实现这些复制操作(these copy operations)(见本章后面的 “共享内核对象”),但这是一个非平凡(非常重要)的操作,最好在隐式复制场景中避免。内核对象是引用计数的。句柄复制没有固有的限制(除了安全性)-它几乎可以在任何内核对象上工作,不管是有名字的还是没有名字的,而且它在任何时间点上都可以工作(在第3章中,我们将看到句柄继承仅在进程创建子进程时可用)。如果是,那么它就不是一个新的对象,而是现有对象的另一个句柄。
【内核与用户层同步】内核对象安全描述符降权
Sven的忘却日记
12-01 358
使用下面函数修改内核Event的安全描述符以后,加入SeAliasUsersSid,给普通用户也赋予权限,这样就可以打开内核的Event了,此时用户层程序如果是普通用户权限,则打开Event失败,因为内核创建的对象,普通用户层是没有权限打开的。DriverEntry 创建一个命名的内核通知事件对象。用户层打开该对象,并创建线程,等待事件通知。
虚拟机技术研究
yujiankk的专栏
10-27 3175
虚拟机技术研究 1. 背景 虚拟机技术是在一个物理主机上创建一个或多个可执行环境的技术。每个虚拟机代表了一个潜在的物理主机的实例,并且互不干扰。这种隔离的属性使虚拟机可以成为安全系统和错误容忍应用程序的基石。 我们将介绍一个基于Windows的操作系统层虚拟机体系结构,我们称其为AVM。AVM虚拟机的主要思想是命名空间虚拟化(Namespace Virtualization),即在系统调用接
Windbg——ReadVirtual: not properly sign extended
机制蛋蛋的博客
07-17 293
1、这个问题是由于你正在尝试反汇编一个使用 32 位地址的内核代码,但你的 windbg 配置成了对 64 位地址进行解码。在 Windows 的 x64 架构上,所有内核模式的地址都是在高位 32 位的地址空间,也就是说,如果一个内核地址是合法的,它的高位应该是全 1 或全 0。所以当你尝试去反汇编一个低位 32 位地址的代码时,windbg 认为这个地址没有被正确地符号扩展,于是就抛出了这个错误。解决这个问题的办法是将 32 位的地址扩展为 64 位的地址。符号文件将保存在C:\symbols目录下。
详解:windows server授权和访问控制技术.docx
12-30
Windows Server 2003中使用的授权和访问控制模型基于以下概念: 基于用户的授权 用户启动的每个应用程序都在该用户的安全上下文中运行,而不是在应用程序的安全上下文中运行。应用程序还可以在受限制的安全上下文中...
基于虚拟设备的访问控制模型 (2011年)
05-22
基于此,提出一种Windows 操作系统I/O 模型下的访问控制模型。该模型基于以加密文件为容器的虚拟设备,在用户态和内核态进行授权判定、透明加解密、访问重定向,可扩展为各种定制访问控制系统。根据需求进行模块设计...
基于强制访问控制的文件安全监控系统的设计与实现.pdf
08-22
重点分析了基于信息保密的BLP(Bell-LaPadula)模型和基于信息完整性的Biba模型,基于这两个模型设计了兼顾系统保密性喝完整性需求的强制访问控制模型,并结合Windows文件过滤驱动程序开发了一个基于该强制访问控制...
计算机组成原理课设 cisc模型
01-09
模型机运行环境:proteus8 professional、windows10 定长cpu周期、三数据总线结构运算器的嵌入式CISC模型模型机规定采用定点补码表示法表示数据,且字长为8位 模型机设计四大类指令共十六条,其中包括算术逻辑...
ZwQuerySystemInformation 函数查看进程列表
热门推荐
ShadowAssassin的专栏
12-14 1万+
程序主要应用函数  ZwQuerySystemInformation  实现的,这也是window内核的一个很重要,结构很复杂的函数。 函数原型 如下: //声明ZqQueryAyatemInformation NTSTATUS ZwQuerySystemInformation( I
驱动层SSDT 隐藏进程
ShadowAssassin的专栏
11-27 6373
闲着没事,便想在熟悉下之前看过的驱动编程相关知识,于是就写了这个简单的驱动曾隐藏进程程序。 要点:  在驱动层隐藏,主要还是使用SSDT挂钩的方法,相关知识,可以到网上查找,在隐藏进程时,为了能够隐藏多个进程,在内核代码中创建一个链表,结构如下: //存放要隐藏进程的名字链表 typedef struct _ProcNameLink { UNICODE_STRING ProcName; s
LIST_ENTRY链表学习
ShadowAssassin的专栏
08-22 6186
链表是驱动开发中经常遇到的一个数据结构,主要是双向循环链表;要使用链表,需要用到一个LIST_ENTRY的结构,其定义如下: typedef struct _LIST_ENTRY { struct _LIST_ENTRY *Flink; // 指向下一个节点 struct _LIST_ENTRY *Blink; // 指向前一个节点 } LIST_ENTR
windows 访问控制模型(二)之安全描述符
ShadowAssassin的专栏
08-12 5343
安全对象Securable Object是拥有SD的Windows的对象。 所有的被命名的Windows的对象都是安全对象。一些没有命名的对象是安全对象,如:进程和线程,也有安全描述符SD。安全对象Securable Object是拥有SD的Windows的对象。 在 Windows系统中,其是用一个安全描述符(Security Descriptors)的结构来保存其权限的设置信息,简称为SD
Windows访问控制
最新发布
10-22
Windows访问控制模型Windows操作系统中实现访问控制的一种机制。它基于对象、主体和权限的概念来管理资源的访问权限。主体可以是用户、组或应用程序。对象可以是文件、文件夹、注册表项等资源。权限则代表对这些...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值