c - 为什么 OpenProcessToken 会因 ERROR_ACCESS_DENIED 而失败

Question

我正在以 Administrators 组中的用户身份运行一个进程，试图为另一个进程获取进程 token 。另一个进程由不在 Administrators 组中的用户运行。这是我正在使用的代码的要点。这段代码中的pid代表非admin进程的进程id。所有这些都在 Windows XP SP 2 上，并且都在同一台机器上。这里没有远程访问。

HANDLE handle;
HANDLE token;

handle = OpenProcess(PROCESS_QUERY_INFORMATION,FALSE,pid);
token = NULL;
OpenProcessToken(handle,TOKEN_DUPLICATE,&token);

OpenProcess 引用:http://msdn.microsoft.com/en-us/library/ms684320%28VS.85%29.aspx

OpenProcessToken 引用:http://msdn.microsoft.com/en-us/library/aa379295%28VS.85%29.aspx

OpenProcess 成功，但无论我将 DesiredAccess 参数传递给 OpenProcessToken 什么，它都会失败并且 GetLastError() 返回 ERROR_ACCESS_DENIED。我添加了一些代码来了解运行此代码的进程的特权并尽可能多地启用，以及收集有关我试图为其获取 token 的进程的信息。这涉及从 OpenProcess 请求更多访问权限(READ_CONTROL | ACCESS_SYSTEM_SECURITY 以及 PROCESS_QUERY_INFORMATION)并调用 GetKernelObjectSecurity(handle)。这是我得到的:

current user: PLEASE_T\dbyron (S-1-5-21-3405506234-1792454352-3826119157-1005)current process: group 0: flags: 0x00000007 sid: S-1-5-21-3405506234-1792454352-3826119157-513 (PLEASE_T\None)current process: group 1: flags: 0x00000007 sid: S-1-1-0 (\Everyone)current process: group 2: flags: 0x0000000F sid: S-1-5-32-544 (BUILTIN\Administrators)current process: group 3: flags: 0x00000007 sid: S-1-5-32-545 (BUILTIN\Users)current process: group 4: flags: 0x00000007 sid: S-1-5-4 (NT AUTHORITY\INTERACTIVE)current process: group 5: flags: 0x00000007 sid: S-1-5-11 (NT AUTHORITY\Authenticated Users)current process: group 6: flags: 0xC0000007 sid: S-1-5-5-0-91553 (no account mapping)current process: group 7: flags: 0x00000007 sid: S-1-2-0 (\LOCAL)SeDebugPrivilege privilege enabledSeTakeOwnershipPrivilege privilege enabledSeSecurityPrivilege privilege enabledSeChangeNotifyPrivilege privilege enabledSeBackupPrivilege privilege enabledSeRestorePrivilege privilege enabledSeSystemtimePrivilege privilege enabledSeShutdownPrivilege privilege enabledSeRemoteShutdownPrivilege privilege enabledSeDebugPrivilege privilege enabledSeSystemEnvironmentPrivilege privilege enabledSeSystemProfilePrivilege privilege enabledSeProfileSingleProcessPrivilege privilege enabledSeIncreaseBasePriorityPrivilege privilege enabledSeLoadDriverPrivilege privilege enabledSeCreatePagefilePrivilege privilege enabledSeIncreaseQuotaPrivilege privilege enabledSeUndockPrivilege privilege enabledSeManageVolumePrivilege privilege enabledSeImpersonatePrivilege privilege enabledSeCreateGlobalPrivilege privilege enabled

我已尝试获得所有可能的权限，我认为上面的组信息表明调用 OpenTokenProcess 的进程是 Administrators 组的成员。

这是来自 GetKernelObjectSecurity 的信息:

control(SE_DACL_PRESENT | SE_SELF_RELATIVE, 0x00008004)owner sid: S-1-5-21-3405506234-1792454352-3826119157-2807 (PLEASE_T\dummyusr)group sid: S-1-5-21-3405506234-1792454352-3826119157-513 (PLEASE_T\None)grant: mask(PROCESS_ALL_ACCESS, 0x001F0FFF), flags(0x00000000): S-1-5-21-3405506234-1792454352-3826119157-2807 (PLEASE_T\dummyusr)grant: mask(PROCESS_ALL_ACCESS, 0x001F0FFF), flags(0x00000000): S-1-5-32-544 (BUILTIN\Administrators)grant: mask(PROCESS_ALL_ACCESS, 0x001F0FFF), flags(0x00000000): S-1-5-18 (NT AUTHORITY\SYSTEM)

看来 dummyusr(非管理员)进程允许访问 Administrators 组。我可能误解了那么为什么 OpenProcessToken 会因 ERROR_ACCESS_DENIED 而失败？我试过将 TOKEN_DUPLICATE 更改为 TOKEN_QUERY，但这并没有改变结果。

我是否缺少特权？还有什么会拒绝我访问此过程的访问 token ？我在一台没有防病毒软件的机器上试过这个，但我仍然得到相同的结果。

我也试过在系统上下文中运行。在这种情况下，关于当前进程的信息是:

current user: NT AUTHORITY\SYSTEM (S-1-5-18)current process: group 0: flags: 0x0000000E sid: S-1-5-32-544 (BUILTIN\Administrators)current process: group 1: flags: 0x00000007 sid: S-1-1-0 (\Everyone)current process: group 2: flags: 0x00000007 sid: S-1-5-11 (NT AUTHORITY\Authenticated Users)

请注意，BUILTIN\Administrators 组的标志略有不同。管理员进程有 0xF，系统进程有 0xE。来自 http://msdn.microsoft.com/en-us/library/aa379624%28VS.85%29.aspx ，0x1 位表示 SE_GROUP_MANDATORY，这在这里似乎不相关。

默认情况下，系统上下文进程还有一些额外的权限:

SeAuditPrivilegeSeCreatePermanentPrivilegeSeLockMemoryPrivilegeSeTcbPrivilege

但我将它们全部禁用，OpenProcessToken 仍然在系统上下文进程中成功。

感谢您的帮助。

Answer 1

您不是先深入细节，而是走排除法吗？ -- 以 LOCAL_SYSTEM 运行进程看看是否能解决问题。毕竟，如果上帝做不到，那么没有人能做到 :P。