security descriptor的一般概念我会一点,但是现在我需要完成一个具体的任务:在CreateProcess函数的参数中设置安全选项,要求是让系统中只有该进程的创建者(也就是CreateProcess函数的调用进程)才能完全访问到这个被新创建的进程对象,而假如同一个机器上任意其他第三个用户进程试图使用诸如WriteProcessMemory之类的函数来改写被创建的进程对象的内存区域的时候,会因为权限不够而失败。
这个要求能做到么?谁能给出一个能完成这个要求的例程么?
这个要求能做到么?谁能给出一个能完成这个要求的例程么?
解决方案 »
- 关于私网IP的问题
- delete m_pCtrlCont的问题
- 请问要怎样进行灰度化处理才能达到系统自带画图板的效果?我的算法估计和它的有一点差异,有少数像素点不重合
- 一个小问题关于Select
- MAPI 相关
- help!大哥们!请问哪有InstallShield for Microsoft Visual C++ 6.0下载,下到就结贴
- 请大家给点意见
- 一个初级问题!!!
- sourcesafe简单问题,帮帮我吧,50分相送
- 那位肯给小弟RSA(VC++6.0)的使用范例源代码。必给高分!
- 一个select的问题,谢谢
- 在项目属性里设置了“预编译头文件”,是不是每个“.cpp”文件里都要include这个头文件呢?这是什么?
of the Process Object and by the SeDebug privilege.
By default, you can always debug your own precesses,
and, the Administrators are granted the SeDebug privilege.
Protecting memory inspection from a debugger is pretty much a lost cause
(unless you can leverage natural security-principal restrictions).
A determined person can always read the physical page from
a driver/kernel-debugger. If you want to run a process under user account, but protected from other
processes of the same user, you need to make sure the process owner (in its
ACL) is something privileged (LOCAL_SYSTEM, LOCAL_SERVICE). A service should
start a process with an user token, but with a security descriptor which
disallows most access. SeDebugPrivilege can easily override any DACL if the person has the
privilege enabled on their account
蒋先生看来是security descriptor的专家,您贴的这段文字是别人的文章中摘录下来的,还是您本人的大作?如果是摘录的话,提供原文或者原文链接给我吧。即使我看了原文,恐怕还有好多问题要请教蒋先生
猜的/
找到
由于权限是基于用户策略的,所以同一用户创建的进程默认具有同样的权限。进程级别的保护可以通过以不同身份执行进程,以及设置进程的用户访问控制列表来做到。
参见
http://www.tech-archive.net/Archive/Development/microsoft.public.win32.programmer.kernel/2004-06/0708.html
参考http://blog.csdn.net/jiangsheng/archive/2004/06/24/25563.aspx