Windows原理深入学习系列-信任等级检查

已于 2022-03-19 13:54:25 修改
阅读量277 收藏
点赞数
分类专栏: Windows原理深入学习系列 文章标签: windows 学习 系统安全 web安全 安全
于 2022-03-19 11:02:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/secsource_stars/article/details/123590840
版权

0x00 目录

0x01 介绍

0x02 逆向分析 Win10_x64_20H2

0x03 WinDBG

0x04 参考文章

在之前的时候,一直以为 SACL 只是单纯用来审计的,但是在分析的时候发现并不完全是这样,他还有一些其他的作用

0x01 介绍

根据资料可以发现,对于权限的检查是在 ObpGrantAccess 函数当中完成的

图片

在之前的文章中,我们知道了在进行权限检查的时候,会先进行完整性等级的检查,然后再检查 ACL,但是在跟入函数以后,发现了在之前还有其他的检测行为,会先进行信任等级的检查

图片

而在其中进行取值的时候是从 SACL 当中取值的,这也就打破了我们之前对于 SACL 仅作为审计用的印象

0x02 逆向分析 Win10_x64_20H2

在进入函数后,首先会获取 TrustLabel 的 ACE

图片

通过往上追,可以发现传入的参数是 SecurityDescriptor 类型的

图片

根据微软文档可以知道,这是被访问者的安全描述符

图片

然后就是判断 Control 了,至于是相对位置还是绝对位置与前面文章中的 DACL 是一样的情况,详细可以参

最低0.47元/天 解锁文章
信安成长计划@Stars
关注
专栏目录
Windows原理深入学习系列-强制完整性控制
SecSource_Stars的博客
03-01 4383
0x00 目录 0x01 介绍 0x02 完整性等级 0x03 文件读取测试 0x04 进程注入测试 0x05 原理分析 Win10_x64_20H2 0x06 参考文章 0x01 介绍 强制完整性控制(Mandatory Integrity Control,MIC),它是对 discretionary access control list 的补充,并且是在 DACL 之前检查的 这是从 Windows Vista 新增的安全机制,在 Windows XP 中几乎所有的进程都是运行在管理员权限下的。 在官
WIN10绕过PPL保护
SHELLCODE_8BIT的博客
09-25 1374
Windows 8.1(和Server 2012 R2)开始,Microsoft引入了一项称为LSA保护的功能。此功能基于PPL技术,它是一种纵深防御的安全功能,旨在“防止非管理员非PPL进程通过打开进程之类的函数串改PPL进程的代码和数据”。 我发现许多人都对这个技术存在误解,认为LSA Protection是阻止利用SeDebug或管理员权限从内存中提取凭证的攻击,例如使用Mimikatz来提取凭证。实际上LSA保护不能抵御这些攻击,它只会让你在执行这些攻击前,需要做一些额外的操作,让攻击变得更加困
将应用程序设置可信任(在win10操作系统)
偏偏行
07-31 9863
第一步:             在你平常打开cmd窗口的输入框里面 输入 Windows Defender(系统设置)-->回车进入系统安全设置窗口 第二步:            点击(红色框里面的防病毒设置) 第三步:            进入防病毒窗口之后点击(红色框里面的防火墙设置) 第四步:            进入防火墙窗口之后点击(箭头所指的红色框里...
花式沉默Defender
moresec的博客
03-15 6980
总结了一下现在还能用的关闭Defender的方法。
浅析Windows的访问权限检查机制
求索
03-18 2350
Author: DanielKing 0x00 简介 在操作系统中,当我们提到安全的时候,意味着有一些资源需要被保护,在Windows操作系统中,这些被保护的资源大多以对象(Object)的形式存在,对象是对资源的一种抽象。每个对象都可以拥有自己的安全描述符(Security Descriptor),用来描述它能够被谁、以何种方式而访问。这些对象是客体,那么访问这些对象的主体是什么呢?这些
树莓派 2 Linux 和 Windows10 学习手册(四)
龙哥盟
08-02 705
就我个人而言,我不太可能使用 Windows,但那是因为我已经使用 Linux 将近 20 年了。我对 Linux 很满意,我喜欢它的工作方式。然而,我最好的朋友之一没有跟随我的领导,留在了 Windows。现在他是一个 Windows 专家,他不太可能想要使用 Linux,尤其是当开始使用一些新的东西时,人们热衷于使用他们熟悉的东西。如果你不认为这是一个足够好的理由,也许是 Windows 的物联网版本提供了一个完整而全面的 API(。有人能接触到硬件吗?
计算机等级考试四级--软件工程
青衣煮茶
02-15 6536
全国计算机等级考试四级教程 ——软件工程(2013版) (殷绍波) 2015年9月26日录入 目  录 第1章 软件工程概述 - 8 - 1.1 软件和软件工程的概念 - 8 - 1.1.1 软件的概念 - 8 - 1.1.2 软件危机 - 9 - 1.1.3 软件工程的概念 - 9 - 1.2 软件工程方法 - 9 - 1.2.1 面向过程方法 - 9 - 1.2.2 面...
计算机网络学习笔记-杭电
Challfate的博客
12-30 1686
计算机网络 应用层 DNS:目录服务 Domain Name System DNS服务-UDP IP地址翻译主机名 主机别名 邮件服务器别名 负载分配:复制的 Web 服务器:许多 IP 地址对应于一个名称 工作原理 1.分布式、层次数据库 根DNS服务器->顶级域服务器->权威服务器->本地DNS服务器 迭代查询(重复查询)iterated 迭代、重复 **递归查询 ** recursive 递归 DNS缓存 如果有主机A,B先后查询C的IP,本地服务器由于有缓存,可以直接在
windows类书的学习心得
热门推荐
g272165123的专栏
05-10 1万+
原文地址:http://www.blogjava.net/sound/archive/2008/08/21/40499.html 内容如下: 创建人: paul 现在的计算机图书发展的可真快,很久没去书店,昨日去了一下,真是感叹万千,很多陌生的出版社,很多陌生的作者,很多陌生的译者,书名也是越来越夸张,什么××天精通××,精通××编程, ××宝典等等,书的印刷质量真的很好,纸张的质量也是今非昔
深入研究Win内部原理系列课程六
10-07
### 深入研究Win内部原理系列课程六:Vista新特性底层揭秘 #### 用户账户控制(User Account Control, UAC) 用户账户控制是Windows Vista引入的一项重要安全特性,其目的是减少系统受到恶意软件和病毒攻击的风险...
《果壳中的C# C# 5.0 权威指南》 (09-26章) - 学习笔记
GATTACA2011
02-05 1514
《果壳中的C# C# 5.0 权威指南》 ========== ========== ========== [作者] (美) Joseph Albahari (美) Ben Albahari [译者] (中) 陈昇 管学理 曾少宁 杨庆川 [出版] 中国水利水电出版社 [版次] 2013年08月 第1版 [印次] 2013年08月 第1次 印刷 [定价] 118.00元 ========== =...
Java中的数据合并与拆分:使用Stream API实现数据的灵活处理
技术研究中心
09-29 898
在Java开发中,数据处理是最基础的操作之一,而在面对大量数据时,合并与拆分数据是常见的需求。无论是简单的数据集合操作,还是复杂对象的属性合并,Stream API 都能够灵活应对,并提高代码的可读性和可维护性。Stream API 是 Java 8 引入的一个强大的工具,旨在简化对集合数据的处理。下面的示例展示了如何从一个订单对象中提取商品列表,并将其合并为一个总的商品集合。操作,我们可以轻松地提取对象的某个属性,并将其合并为一个新的数据集。合并数据通常指的是将多个集合或数组的数据进行拼接、组合。
STL之list篇(上)初识list容器,了解其核心机制,实例化对象进行分析
suye050331的博客
09-28 1245
std::list容器,顾名思义,实现了双向链表的数据结构。与基于数组的容器(如std::vector)不同,std::list中的元素并不是连续存储在内存中的,而是通过节点(Node)之间的指针相互连接。这种设计赋予了std::list在插入和删除操作上的巨大优势——无论元素位于何处,这些操作都可以在常数时间复杂度O(1)内完成,而无需像数组那样可能需要移动大量元素。因此,让我们一起探索std::list的奥秘,领略其在C++编程中的独特魅力吧!
深入理解 C# 中的集合与数据结构
最新发布
qq_45728381的博客
10-02 1297
在日常开发中,集合与数据结构是处理数据的基础工具。C# 提供了一系列强大而灵活的集合类型,帮助我们存储、访问和管理数据。这篇文章将带你了解 C# 中常用的数组、列表、字典、队列、栈、集合和链表的特性和用法。
cmd命令大全详解
huxyc的博客
09-28 1814
cmdschtasks /create /tn [任务名] /tr [任务运行的命令] /sc [任务触发器]cmdbitsadmin /transfer [任务名] /download [源URL] [目标文件路径]cmdrobocopy [源路径] [目标路径] [文件名]cmdcopy [源文件路径] [目标文件路径]cmdmove [源文件路径] [目标文件路径]cmdfind [要查找的字符串] [文件名]cmdshutdown /s /t [秒数]cmdassoc [文件扩展名]
Linux 默认内核版本更改
weixin_57632548的博客
09-29 349
linux 一般安装多个内核版本,但会设置一个开机启动默认内核版本。如果需要升级内核版本,且找不到需要升级的内核版本时,可通过更改默认内核版本解决。
【WRF工具】cmip6-to-wrfinterm工具概述:生成WRF中间文件
WW、forever的博客
09-29 1238
【WRF工具】cmip6-to-wrfinterm工具概述:生成WRF中间文件
JAVA学习-练习试用Java实现“二叉树的层序遍历 II”
weixin_69763181的博客
10-01 518
(文章为作者在学习java过程中的一些个人体会总结和借鉴,如有不当、错误的地方,请各位大佬批评指正,定当努力改正,如有侵权请联系作者删帖。给定一个二叉树,返回其节点值自底向上的层序遍历。(即按从叶子节点所在层到根节点所在的层,逐层从左向右遍历)一、题目分析:本题要求对二叉树进行层序遍历,并将结果以自底向上的顺序返回。3. 进入循环,每次取出队列头部的节点,并将其值加入当前层的结果列表中。5. 循环结束后,将当前层的结果列表添加到最终结果列表的头部。4. 如果该节点有左右子节点,将它们入队。
Windows Server 2008 Hyper-V全面安装与配置详解
本教程详细介绍了如何在Windows Server 2008这一经典操作系统上安装和配置Hyper-V虚拟化技术。作为Windows Server 2008的一大特色,Hyper-V使得企业能够更加高效地管理和部署虚拟机,提升资源利用率,降低成本。以下...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值