微信公众号 讲师中心
首页
文章
后端开发 web前端 数据库 开发工具 php框架 常见问题 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 自媒体 新闻
专题
后端开发 web前端 数据库 开发工具 php框架 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 新闻
AI工具
AI 聊天问答 Agent智能体 AI 文本写作 AI 绘画作图 AI 设计工具 AI 视频创作 AI 音频制作 AI 办公学习 AI 编程开发 Prompt指令
学习
大前端 后端开发 数据库 移动端 运维开发 计算机基础
编程手册
大前端 后端开发 数据库 移动端 运维开发 计算机基础
下载
js特效 网站源码 工具下载 类库下载 网站素材 学习资源 插件扩展 手机/移动开发 手机游戏
搜索
后端开发 web前端 数据库 开发工具 php框架 常见问题 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程
自媒体 新闻
首页 > 系统教程 > Windows系列 > 正文

Windows原理深入学习系列-信任等级检查

蓮花仙者
发布: 2025-07-12 08:00:38
原创
178人浏览过

这是[信安成长计划]的第23篇文章

0x00 目录

0x01 介绍

0x02 逆向分析 Win10_x64_20H2

0x03 WinDBG

0x04 参考文章

过去,我一直认为SACL仅仅是用于审计的,但在深入分析时发现,SACL还具有其他功能。

0x01 介绍

根据资料显示,权限检查是在ObpGrantAccess函数中完成的。

Windows原理深入学习系列-信任等级检查在之前的文章中,我们了解到在进行权限检查时,首先会进行完整性等级的检查,然后再检查ACL。然而,在跟踪函数后,发现了在这些检查之前,还存在其他检测行为,即先进行信任等级的检查。

Windows原理深入学习系列-信任等级检查在进行取值时,值是从SACL中获取的,这也改变了我们之前认为SACL仅用于审计的观点。

0x02 逆向分析 Win10_x64_20H2

进入函数后,首先获取TrustLabel的ACE。

Windows原理深入学习系列-信任等级检查通过向上追溯,可以发现传入的参数是SecurityDescriptor类型的。

Windows原理深入学习系列-信任等级检查根据微软文档可知,这是被访问者的安全描述符。

Windows原理深入学习系列-信任等级检查接着是对Control的判断,与之前文章中DACL的相对位置或绝对位置是一样的情况,详细内容可以参考《Windows原理深入学习系列-访问控制列表-关于安全描述符的补充》。

Windows原理深入学习系列-信任等级检查然后调用RtlFindAceByType通过类型来寻找我们想要的ACE,这里要找的是SYSTEM_PROCESS_TRUST_LABEL_ACE_TYPE,具体操作这里就不详述了,之前已经分析过如何获取ACE,如何判断ACE类型等,详细内容可以参考《Windows原理深入学习系列-访问控制列表》。

Windows原理深入学习系列-信任等级检查找到后,还会进行一次判断,如果有效就直接返回,也就是找到了。

Windows原理深入学习系列-信任等级检查如果没有找到,从一开始就不跳转,直接返回零。

Windows原理深入学习系列-信任等级检查接下来回到主函数,如果没有找到就直接退出,这里假设已经找到了。

这里面还会涉及到一些其他的操作,暂时先不考虑这些内容,所以后面的一些跳转就省略不看了,这些操作也都是成对的,刚开始有申请,退出时有释放。

Windows原理深入学习系列-信任等级检查接下来会获取当前安全主体的上下文,用来与目标的安全等级进行对比,这里取出了Token,但有PrimaryToken和ClientToken之分。

Windows原理深入学习系列-信任等级检查根据后面的逻辑分析,如果没有ClientToken,就会直接用PrimaryToken进行比较,如果有的话,会先进行ClientToken比较,当PrimaryToken的TrustLevelSid大于ClientToken后,才会再进行PrimaryToken与目标等级的对比,否则就会使用ClientToken与目标等级进行对比。

但ClientToken是什么呢?猜测可能与Impersonation有关。

Windows原理深入学习系列-信任等级检查因为对于Token的描述就是有这两种。

微信 WeLM
微信 WeLM

WeLM不是一个直接的对话机器人,而是一个补全用户输入信息的生成模型。

微信 WeLM 33
查看详情 微信 WeLM

Windows原理深入学习系列-信任等级检查在一些函数调用中,ClientToken也被描述为模拟的客户端的Token,这里就假设是这样的用处了,如果不是,请大佬们帮忙指出。

Windows原理深入学习系列-信任等级检查在进行对比时,有另外一个函数来进行,它会将两个SID都传入,然后进行对比,而对比的结果是通过r8来接收的。

Windows原理深入学习系列-信任等级检查在这个函数中,对比逻辑主要就是有TrustLabel的大于没有TrustLabel,PP保护的大于PPL,Signer也是高值大于低值。

Windows原理深入学习系列-信任等级检查然后再来看判断完以后的情况,先看返回值,确定函数执行成功了,然后再看返回值,因为是从r8回来的,所以这里看的就是var38。

Windows原理深入学习系列-信任等级检查如果不为零,就说明当前的Trust的等级高于目标的,然后将arg30置-1。

Windows原理深入学习系列-信任等级检查否则的话,将目标ACE的AccessMask的第24位置1,通过微软文档可以得知,不管成功与否,当前的访问都是会被审计的。

Windows原理深入学习系列-信任等级检查0x03 WinDBG

可以通过WinDBG来观察到已经被保护的System Token,先得到安全描述符。

Windows原理深入学习系列-信任等级检查然后交给WinDBG来进行解析。

Windows原理深入学习系列-信任等级检查0x04 参考文章

1.https://www.php.cn/link/f0e74f09295841e202946abdc1829518

2.https://www.php.cn/link/4c3c33b9115db0a66cd40a5465974ed6

3.https://www.php.cn/link/2910d1ad8c41edfda403263d973b0ae1

4.https://www.php.cn/link/fd5323cdf77a30f8ccc4f468be401563

5.https://www.php.cn/link/6b542509805b2618d880d79d813a51e9

6.https://www.php.cn/link/a11bda17f8522e39a9bcf3cad3794341

7.https://www.php.cn/link/9e04a739ebd144fa784a334e6365bdc1

8.https://www.php.cn/link/c933697660243185652bf51a75f9001a

9.https://www.php.cn/link/648e9e6a126696bd6f0eaf62b2b222b0

10.https://www.php.cn/link/ef7db75e56ef7972af70c3900d2174fa

11.https://www.php.cn/link/4c3c33b9115db0a66cd40a5465974ed60

12.https://www.php.cn/link/4c3c33b9115db0a66cd40a5465974ed61

以上就是Windows原理深入学习系列-信任等级检查的详细内容,更多请关注php中文网其它相关文章!

相关标签:
windows git access win10 for Token protected github windows https microsoft Access

大家都在看:

最佳 Windows 性能的顶级免费优化软件
最佳 Windows 性能的顶级免费优化软件

每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。

下载
来源:php中文网
收藏 点赞
上一篇:Windows无法完成格式化怎么办?5种解决方法 下一篇:Win7系统如何给文件夹添加封面?
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
作者最新文章
最新问题
win10怎么测试网速 win10检查网络带宽与延迟的方法 使用Speedtest网站测速可得下载上传速度与延迟;2.360宽带测速器提供稳定测试结果并支持历史记录查看;3.Ping命令用于检测网络连通性与响应时间;4.资源监视器可实时监控各进程网络使用情况。
2025-11-15 21:40:55
963
win10怎么修改注册表 win10注册表编辑器打开与使用入门 首先打开注册表编辑器,可通过Win+R输入regedit、开始菜单搜索、文件资源管理器地址栏输入或命令行工具等方式启动;其次可使用管理员权限的PowerShell或任务管理器“运行新任务”功能打开;最后修改前必须备份,通过导出功能保存.reg文件,并可在需要时双击导入以批量修改注册表。
2025-11-15 21:39:05
521
windows11如何设置应用程序在特定显示器上打开_Windows 11应用指定显示器运行设置 可通过快照布局、手动调整窗口位置及启用系统设置实现应用在特定显示器启动。首先使用Win+Z调出快照布局选择目标区域,使应用关联该显示器;其次手动拖动窗口至指定屏幕并正常关闭以记录位置,重复操作增强记忆效果;最后在设置中开启“根据监视器连接记住窗口位置”,确保显示器排列与实际一致,提升恢复准确性。
2025-11-15 21:37:28
744
win11如何彻底关闭onedrive win11关闭OneDrive方法 通过任务管理器禁用OneDrive开机启动;2.在系统设置中关闭其启动权限;3.取消链接账户以停止同步;4.使用注册表编辑器删除自启项;5.卸载OneDrive客户端;6.通过命令行强制卸载,彻底关闭并移除OneDrive。
2025-11-15 21:37:02
237
win10怎么打开gpedit.msc win10家庭版安装组策略编辑器 Windows10家庭版默认无组策略编辑器,可通过启用可选功能、运行脚本或手动复制文件三种方法解决。首先尝试在“设置-应用-可选功能”中添加“组策略管理工具”;若不可用,则创建并以管理员身份运行DISM命令脚本安装组件;最后可从专业版系统复制必要文件至System32目录并执行sfc/scannow修复。
2025-11-15 21:36:07
871
如何修复 Windows 11 中模糊的网络摄像头 画面模糊可因镜头污渍、分辨率低或驱动问题导致;先清洁镜头,再调高相机分辨率至1080p并优化图像设置,接着更新或重装摄像头驱动,确保应用有相机权限并关闭后台占用程序,最后改善光照与网络环境以提升画质。
2025-11-15 21:33:06
498
win11怎么开启黑暗模式 Win11系统全局深色主题设置与应用 通过“设置”>“个性化”>“颜色”选择“深色”模式可手动启用深色主题;2.选择“自定义”模式并设置默认与夜间模式可实现定时切换;3.安装PowerToys并使用LightSwitch功能,结合地理位置按日出日落自动切换;4.使用第三方工具DarkMode可实现更高级自动化,支持壁纸联动与开机自启,全面开启系统及应用深色模式。
2025-11-15 21:31:33
440
win11怎么设置快速访问 Win11自定义文件资源管理器快速访问栏 1、通过固定常用文件夹并清理自动项目,可优化Windows11快速访问功能;2、调整默认打开位置为“此电脑”并重新排序或取消固定项目,提升文件访问效率。
2025-11-15 21:27:13
203
win10怎么打开ntfs权限 win10文件和文件夹高级安全设置 必须禁用简单文件共享以启用NTFS高级权限,通过“安全”选项卡或icacls命令行工具可设置用户读取、写入等精细化访问控制。
2025-11-15 21:27:06
722
win11怎么看激活密钥 Win11使用命令查询产品密钥后五位 可通过命令或注册表查看Windows11的OEM预装密钥。使用CMD执行wmicpathsoftwarelicensingservicegetOA3xOriginalProductKey,或用PowerShell运行(Get-WmiObject-Query‘Select*FromSoftwareLicensingService’).OA3xOriginalProductKey,均可显示25位原始密钥;通过regedit访问HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
2025-11-15 21:23:45
112
相关专题
更多>
热门推荐
开源免费商场系统广告
热门教程
更多>
相关推荐
热门推荐
最新课程
最新下载
更多>
网站特效
网站源码
网站素材
前端模板
关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新 English
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送
PHP中文网APP
随时随地碎片化学习

Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号

  • PHP学习

  • 技术支持

  • 返回顶部