Windows原理深入学习系列-信任等级检查

原创 已于 2022-03-19 13:54:25 修改 · 347 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #学习 #系统安全 #web安全 #安全

于 2022-03-19 11:02:15 首次发布

0x00 目录

0x01 介绍

0x02 逆向分析 Win10_x64_20H2

0x03 WinDBG

0x04 参考文章

在之前的时候,一直以为 SACL 只是单纯用来审计的,但是在分析的时候发现并不完全是这样,他还有一些其他的作用

0x01 介绍

根据资料可以发现,对于权限的检查是在 ObpGrantAccess 函数当中完成的

图片

在之前的文章中,我们知道了在进行权限检查的时候,会先进行完整性等级的检查,然后再检查 ACL,但是在跟入函数以后,发现了在之前还有其他的检测行为,会先进行信任等级的检查

图片

而在其中进行取值的时候是从 SACL 当中取值的,这也就打破了我们之前对于 SACL 仅作为审计用的印象

0x02 逆向分析 Win10_x64_20H2

在进入函数后,首先会获取 TrustLabel 的 ACE

图片

通过往上追,可以发现传入的参数是 SecurityDescriptor 类型的

图片

根据微软文档可以知道

最低0.47元/天 解锁文章
Windows原理深入学习系列-强制完整性控制
SecSource_Stars的博客
03-01 4697
0x00 目录 0x01 介绍 0x02 完整性等级 0x03 文件读取测试 0x04 进程注入测试 0x05 原理分析 Win10_x64_20H2 0x06 参考文章 0x01 介绍 强制完整性控制(Mandatory Integrity Control,MIC),它是对 discretionary access control list 的补充,并且是在 DACL 之前检查的 这是从 Windows Vista 新增的安全机制,在 Windows XP 中几乎所有的进程都是运行在管理员权限下的。 在官
深入研究Win内部原理系列课程六
10-07
### 深入研究Win内部原理系列课程六:Vista新特性底层揭秘 #### 用户账户控制(User Account Control, UAC) 用户账户控制是Windows Vista引入的一项重要安全特性,其目的是减少系统受到恶意软件和病毒攻击的风险...
将应用程序设置可信任(在win10操作系统)
热门推荐
偏偏行
07-31 1万+
第一步:             在你平常打开cmd窗口的输入框里面 输入 Windows Defender(系统设置)-->回车进入系统安全设置窗口 第二步:            点击(红色框里面的防病毒设置) 第三步:            进入防病毒窗口之后点击(红色框里面的防火墙设置) 第四步:            进入防火墙窗口之后点击(箭头所指的红色框里...
浅析Windows的访问权限检查机制
求索
03-18 2526
Author: DanielKing 0x00 简介 在操作系统中,当我们提到安全的时候,意味着有一些资源需要被保护,在Windows操作系统中,这些被保护的资源大多以对象(Object)的形式存在,对象是对资源的一种抽象。每个对象都可以拥有自己的安全描述符(Security Descriptor),用来描述它能够被谁、以何种方式而访问。这些对象是客体,那么访问这些对象的主体是什么呢?这些
WIN10绕过PPL保护
SHELLCODE_8BIT的博客
09-25 1822
Windows 8.1(和Server 2012 R2)开始,Microsoft引入了一项称为LSA保护的功能。此功能基于PPL技术,它是一种纵深防御的安全功能,旨在“防止非管理员非PPL进程通过打开进程之类的函数串改PPL进程的代码和数据”。 我发现许多人都对这个技术存在误解,认为LSA Protection是阻止利用SeDebug或管理员权限从内存中提取凭证的攻击,例如使用Mimikatz来提取凭证。实际上LSA保护不能抵御这些攻击,它只会让你在执行这些攻击前,需要做一些额外的操作,让攻击变得更加困
花式沉默Defender
moresec的博客
03-15 7922
总结了一下现在还能用的关闭Defender的方法。
树莓派 2 Linux 和 Windows10 学习手册(四)
龙哥盟
08-02 2035
就我个人而言,我不太可能使用 Windows,但那是因为我已经使用 Linux 将近 20 年了。我对 Linux 很满意,我喜欢它的工作方式。然而,我最好的朋友之一没有跟随我的领导,留在了 Windows。现在他是一个 Windows 专家,他不太可能想要使用 Linux,尤其是当开始使用一些新的东西时,人们热衷于使用他们熟悉的东西。如果你不认为这是一个足够好的理由,也许是 Windows 的物联网版本提供了一个完整而全面的 API(。有人能接触到硬件吗?
深入理解Windows加密文件系统EFS
weixin_42593130的博客
05-03 1459
加密文件系统(Encrypting File System,EFS)是Microsoft Windows操作系统中用于在文件级别加密数据的特性,它允许用户保护个人数据免受未经授权访问。EFS通过公钥加密文件,对文件进行透明加密,使得用户能够在不影响日常工作流程的前提下保护敏感信息。
计算机等级考试四级--软件工程
青衣煮茶
02-15 7784
全国计算机等级考试四级教程 ——软件工程(2013版) (殷绍波) 2015年9月26日录入 目  录 第1章 软件工程概述 - 8 - 1.1 软件和软件工程的概念 - 8 - 1.1.1 软件的概念 - 8 - 1.1.2 软件危机 - 9 - 1.1.3 软件工程的概念 - 9 - 1.2 软件工程方法 - 9 - 1.2.1 面向过程方法 - 9 - 1.2.2 面...
详解Windows(四)——进程、服务与任务
m0_73552988的博客
04-20 1701
进程是正在运行的程序的实例。想象一下,当你双击打开微信图标时,Windows就会为微信创建一个进程,分配内存和CPU等资源,让它能够运行起来。每个进程都有自己独立的内存空间,彼此之间相互隔离,这样一个程序崩溃不会影响其他程序。
Windows平台ESP-IDF配置实战:避开90%开发者踩过的8大坑
ESP-IDF(Espressif IoT Development Framework)是乐鑫官方推出的物联网开发框架,专为ESP32系列芯片设计。在Windows平台上搭建ESP-IDF开发环境,虽相较Linux略显复杂,但凭借完善的工具链支持与持续优化的安装流程...
73、Windows Server 2008 用户与组管理全解析
sugar的博客
08-06 81
本文深入解析了Windows Server 2008中的用户与组管理,涵盖了账户复制、计算机账户、组账户的分类与作用、组范围与嵌套规则、预定义组的功能、权利与权限的区别、组策略的应用等内容。通过实际案例和流程图展示,帮助管理员更好地理解如何高效、安全地进行用户与组管理,适用于企业多分支机构的统一管理场景。同时提供了常见问题的解决方案,为系统安全和管理效率提升提供了实用指导。
Python的数据类型
chen_note的博客
11-21 967
Python包含六种核心数据类型: 数字类型 - 不可变类型,支持数学运算 字符串- 不可变文本类型,支持切片、格式化(f-string/%-formatting)和常用方法(split/strip/find等) 列表- 可变有序集合,支持增删改查操作 元组 - 不可变列表,用于函数传参 字典 - 键值对结构,通过key快速查找value 集合 - 去重容器,支持集合运算(并/交/差集) 流程控制包括:条件判断、循环结构、循环控制
Java集合大调研
m0_67398518的博客
11-23 827
Java集合框架主要包含Collection和Map两大接口体系。Collection分为List、Set和Queue;Map存储键值对。各实现类在性能上各有特点:ArrayList随机访问快,LinkedList增删快,HashSet查询快,TreeSet保持排序。线程安全类有Vector和ConcurrentHashMap等。选择时应根据需求考虑访问方式、排序要求和线程安全等因素。
基于学习的人工智能(1)为什么学习
致力于大数据+AI 的应用创新。
11-24 261
学习是人类最重要的认知活动之一,贯穿我们的一生。出生后,我们无时无刻不在学习:从父母那里学说话,自己尝试走路,从小伙伴那里学会折纸飞机,从老师那里学到语文、数学等各种知识。研究人员始终将光源和风扇放在同一侧,经由学习,玉米幼苗逐渐学会了“有风的地方就会有光”的规律。之后,研究人员移去光源,并改变风扇方向,玉米幼苗依然按照所学知识,向风扇方向生长。1959 年,美国计算机学家亚瑟·塞缪尔设计了一款可以自我学习的跳棋程序,并将这一新方法称为“机器学习”,从而开启了机器自我学习的道路。
学习笔记——基础hash思想及其简单C++实现
2502_91790308的博客
11-23 894
哈希表是一种查找时间复杂度为O(1)的高效数据结构,通过哈希函数将数据映射到固定位置实现快速查询。本文介绍了哈希表的核心概念,包括哈希函数(重点讲解除留余数法)、负载因子和哈希冲突。针对冲突问题,详细阐述了开放定址法(含线性探测、二次探测)和链地址法两种解决方案。文章还通过计数排序示例说明哈希思想,并探讨了实现中的关键问题,如扩容策略、处理非整数类型键值的方法等。哈希表性能优异但需合理设计,否则可能退化为O(n)复杂度。
DeepSeek少样本学习
2509_93939072的博客
11-25 269
二是学会一个“距离度量”的尺度,知道在特征空间里,怎样算“像”,怎样算“不像”。除了常规的裁剪、翻转、变色,可以尝试Mixup、CutMix等混类增强,甚至用一些AutoAugment策略,凭空创造出海量的“新”样本,让模型见识更多的多样性,增强鲁棒性。它的核心在于,不再执着于记忆海量数据中那些细枝末节的特征,而是着力于学习一个“好的特征空间”,并掌握一种“比较和区分”的通用能力。它的目标就是上面说的,学习一个映射函数,把数据投影到一个新的特征空间,在这个空间里,相似样本靠得极近,不相似样本离得足够远。
谷歌新论文:为什么当前 AI 无法在训练后继续学习
最新发布
恋猫de小郭的博客
11-25 887
从这个角度看,能“吃一堑长一智”的 AI 也许离我们就不远了更多的性能开销,例如额外的 MLP 运算和实时梯度计算更多的内存占用,比如 HOPE 需要存储“优化器状态” 和管理状态大小HOPE 要求参数在Forward过程中动态变化 ,这种“自我修改”的代码实现难度大,且难以利用现有的底层 Kernel 优化多嵌套下的梯度流管理和独立问题·····最后,本文解读主要参考 Gemini 分析。
java进阶--多线程学习
2509_94007210的博客
11-23 145
并行(parallel):指在同一时刻,有多条指令在多个处理器上同时执行。就好像两个人各拿一把铁锨在挖坑,一小时后,每人一个大坑。所以无论从微观还是从宏观来看,二者都是一起执行的。来个比喻:并发是一个人同时吃三个馒头,而并行是三个人同时吃三个馒头。并行是指多个处理器或者是多核的处理器同时处理多个不同的任务。并发是逻辑上的同时发生,而并行是物理上的同时发生。并发是指一个处理器同时处理多个任务。
深入学习Windows API开发:编程实例与应用指南
通过学习本书,开发者能够充分掌握Windows API的使用方法,并能利用这些API开发出高性能的Windows应用程序。配合提供的demo示例,开发者可以通过实践加深理解,并能够更好地将理论应用到实际开发中。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值