SID в драйвере - Низкоуровневое программирование

SID в драйвере

	От:	mikmaslov
	Дата:	12.12.07 11:06
	Оценка:

В драйвере в перехватчике CreateFile получаю какие-то странные SID (получаю их по токену).
Хотя начало вроде бы правильное : S-1-5-21-...

Как вообще получить SID пользователя?

Re: SID в драйвере

От:	Valery A. Boronin	linkedin.com/in/boronin
Дата:	12.12.07 13:39
Оценка:

Здравствуйте, mikmaslov, Вы писали:

M>В драйвере в перехватчике CreateFile получаю какие-то странные SID (получаю их по токену).
M>Хотя начало вроде бы правильное : S-1-5-21-...
используйте команды !token и !sid в WinDbg в процессе отладки

M>Как вообще получить SID пользователя?
вопрос не совсем ясен — где получить?

если в IRP_MJ_CREATE например — то в поиске есть все ответы: Valery A. Boronin и т.п.

... << RSDN@Home 1.2.0 alpha rev. 0>>

Valery A. Boronin, RSDN Team, linkedin.com\in\boronin
R&D Mgmt & Security. AppSec & SDL. Data Protection and Systems Programming. FDE, DLP, Incident Management. Windows Filesystems and Drivers.

Re[2]: SID в драйвере

	От:	mikmaslov
	Дата:	12.12.07 15:08
	Оценка:

!token дает нормальные (существующие) значения.
А !sid — где брать адреса?
Я в этом отладчике новичек, можно ли с его помощью просматривать память драйвера?

Здравствуйте, Valery A. Boronin, Вы писали:

VAB>Здравствуйте, mikmaslov, Вы писали:

M>>В драйвере в перехватчике CreateFile получаю какие-то странные SID (получаю их по токену).
M>>Хотя начало вроде бы правильное : S-1-5-21-...
VAB>используйте команды !token и !sid в WinDbg в процессе отладки

M>>Как вообще получить SID пользователя?
VAB>вопрос не совсем ясен — где получить?

VAB>если в IRP_MJ_CREATE например — то в поиске есть все ответы: Valery A. Boronin и т.п.

Re[3]: SID в драйвере

	От:	Maxim S. Shatskih
	Дата:	12.12.07 15:51
	Оценка:

M>Я в этом отладчике новичек, можно ли с его помощью просматривать память драйвера?

dd Адрес
dd Адрес ИмяТипаСтруктуры

Занимайтесь LoveCraftом, а не WarCraftом!

Re[4]: SID в драйвере

	От:	Maxim S. Shatskih
	Дата:	12.12.07 15:51
	Оценка:

Сорри, dt Адрес ИмяТипаСтруктуры

Занимайтесь LoveCraftом, а не WarCraftом!

Re[5]: SID в драйвере

	От:	mikmaslov
	Дата:	12.12.07 17:30
	Оценка:

А где взять этот адрес??

Я попробовал вывести адрес структуры SID в журнал
и ввести его как адрес в WinDbg. Но ни один варинат
судя по всему не подошел.

Насколько я понял, нужно с этим отладчиком подружиться...
Можете порекомендовать мануал?

Здравствуйте, Maxim S. Shatskih, Вы писали:

MSS>Сорри, dt Адрес ИмяТипаСтруктуры

Re[6]: SID в драйвере

От:	Valery A. Boronin	linkedin.com/in/boronin
Дата:	12.12.07 17:45
Оценка:

Здравствуйте, mikmaslov, Вы писали:

M>А где взять этот адрес??
в параметрах IRP например или через API — см ссылки что я давал

M>Я попробовал вывести адрес структуры SID в журнал
M>и ввести его как адрес в WinDbg. Но ни один варинат
M>судя по всему не подошел.
из ядра не рекомендую даже пытаться делать конверсию SID -> human readable form
лучше дампить как есть и разбираться уже в user mode

M>Насколько я понял, нужно с этим отладчиком подружиться...
M>Можете порекомендовать мануал?
F1 is the best manual. Really.

еще есть WinDbg mailinglist/forum on OSR and NG hosted by MSFT

... << RSDN@Home 1.2.0 alpha rev. 0>>

Valery A. Boronin, RSDN Team, linkedin.com\in\boronin
R&D Mgmt & Security. AppSec & SDL. Data Protection and Systems Programming. FDE, DLP, Incident Management. Windows Filesystems and Drivers.

Re: SID в драйвере

От:	Unmanaged	ICQ 476611995
Дата:	12.12.07 19:39
Оценка:

M>Как вообще получить SID пользователя?

Парень, ты затрахал кросспостить.
Правила читаем.

STATUS_INVALID_DEVICE_REQUEST

Переместить
Удалить
Выделить ветку

Пока на собственное сообщение не было ответов, его можно удалить.

Заголовок: