Есть процесс, запущенный из-под локального администратора.
Попытка снять с него дамп или открыть с полным набором прав, получить токен, завершается с Access Denied.
Установка в клиентском процессе SeDebugPrivilege не помогает.
Запуск клиентского процесса из-под System не помогает.
Идеи?
"Хаос всегда побеждает порядок, поскольку лучше организован." (с) Терри Пратчетт
Здравствуйте, Albeoris, Вы писали:
A>Доброго времени суток!
A>Есть процесс, запущенный из-под локального администратора. A>Попытка снять с него дамп или открыть с полным набором прав, получить токен, завершается с Access Denied. A>Установка в клиентском процессе SeDebugPrivilege не помогает. A>Запуск клиентского процесса из-под System не помогает.
A>Идеи?
SetKernelObjectSecurity() или вроде того. Поправь права на нем, возможно, начиная с ownership.
Re: Access Denied при работе с чужим процессом из-под привилегированного аккаунт
Здравствуйте, Evgeniy Skvortsov, Вы писали: ES>А что за ПО? А то есть такие хитрецы вроде DeviceLock, доступ к которым контролируется из драйвера и хрен ты к нему подлезешь из юзермода.
С Vista есть и нативные средства — Protected Processes:
The following specific access rights are not allowed from a process to a protected process:
Здравствуйте, Albeoris, Вы писали:
A>Есть процесс, запущенный из-под локального администратора. A>Попытка снять с него дамп или открыть с полным набором прав, получить токен, завершается с Access Denied. A>Установка в клиентском процессе SeDebugPrivilege не помогает. A>Запуск клиентского процесса из-под System не помогает.
A>Идеи?
Версия Windows какая?
Можно попробовать достучаться через Process Hacker, он большинство базовых защит умеет обходить
(используя свой драйвер).
Но, как уже написали, доступ даже для администраторов и системной учетки может быть закрыт
встроенными средствами, это ObRegisterCallbacks и protected processes на Vista и выше, а еще
Protected Processes Light (Win8.1+) и Trustlets (Win10). Гугл — "The Evolution of Protected
Processes" и "Battle of SKM and IUM" (A. Ionescu).
Re[2]: Access Denied при работе с чужим процессом из-под привилегированного акка
Здравствуйте, okman, Вы писали:
O>Но, как уже написали, доступ даже для администраторов и системной учетки может быть закрыт O>встроенными средствами, это ObRegisterCallbacks и protected processes на Vista и выше, а еще O>Protected Processes Light (Win8.1+) и Trustlets (Win10). Гугл — "The Evolution of Protected O>Processes" и "Battle of SKM and IUM" (A. Ionescu).
Windows 7 x64
Увы. Попытка снять дамп через Process Hacker закончилась так же:
---------------------------
Process Hacker
---------------------------
Unable to create the minidump: Отказано в доступе.
То бишь теперь придётся проксировать все вызовы через самописный драйвер?
Мы можем зарезать права процессу, чтобы он не смог воспользоваться подобной защитой?
"Хаос всегда побеждает порядок, поскольку лучше организован." (с) Терри Пратчетт
Здравствуйте, Albeoris, Вы писали:
A>Windows 7 x64 A>Увы. Попытка снять дамп через Process Hacker закончилась так же:
A>--------------------------- A>Process Hacker A>--------------------------- A>Unable to create the minidump: Отказано в доступе.
Скорее всего, права доступа "зарубил" какой-то драйвер через ObRegisterCallbacks.
A>Мы можем зарезать права процессу, чтобы он не смог воспользоваться подобной защитой?
Установленные калбэки можно снять (на свой страх и риск) какой-нибудь антируткит-утилитой.
Например, GMER.