Здравствуйте, m2user, Вы писали:

M>Не, там все-таки ACL. Просто надо смотреть security descriptor программным способом, т.к. UI далеко не все ACE из SACL показывает.
M>Если включить аудит файлового доступа (например через Global Object Access Auditing), то в windows security log видно, что у процесса нет прав на запись в %PF%\WindowsApp и подкаталоги по причине "Denied by Process Trust Label ACE".
M>Это тип ACE (SYSTEM_PROCESS_TRUST_LABEL_ACE_TYPE) появился в Win8.1 и плохо документирован.

Таки и чего делать-то? Есть какая-нибудь идея?


M>Вот в этой презентации более-менее объясняется как работает ACE:
M>http://publications.alex-ionescu.com/Recon/Recon%202018%20-%20Unknown%20Known%20DLLs%20and%20other%20code%20integrity%20trust%20violations.pdf

Полистал, нифига не понял


M>Что интересно, похоже что SeRestorePrivilege не срабатывает против этого ACE на перезапись файла

Т.е. через backup/restore пролезть не получится? Ну, вроде бы логично