Доброго времени суток!

Есть процесс, запущенный из-под локального администратора.
Попытка снять с него дамп или открыть с полным набором прав, получить токен, завершается с Access Denied.
Установка в клиентском процессе SeDebugPrivilege не помогает.
Запуск клиентского процесса из-под System не помогает.

Идеи?

Здравствуйте, Albeoris, Вы писали:

A>Идеи?

Запустить дебагер из-под локального администратора и приаттачиться к процессу?

Здравствуйте, Albeoris, Вы писали:

A>Доброго времени суток!

A>Есть процесс, запущенный из-под локального администратора.
A>Попытка снять с него дамп или открыть с полным набором прав, получить токен, завершается с Access Denied.
A>Установка в клиентском процессе SeDebugPrivilege не помогает.
A>Запуск клиентского процесса из-под System не помогает.

A>Идеи?

SetKernelObjectSecurity() или вроде того. Поправь права на нем, возможно, начиная с ownership.

Здравствуйте, Albeoris, Вы писали:

A>Идеи?

А что за ПО? А то есть такие хитрецы вроде DeviceLock, доступ к которым контролируется из драйвера и хрен ты к нему подлезешь из юзермода.

Здравствуйте, Evgeniy Skvortsov, Вы писали:
ES>А что за ПО? А то есть такие хитрецы вроде DeviceLock, доступ к которым контролируется из драйвера и хрен ты к нему подлезешь из юзермода.
С Vista есть и нативные средства — Protected Processes:

The following specific access rights are not allowed from a process to a protected process:

• PROCESS_ALL_ACCESS
  
• PROCESS_CREATE_PROCESS
  
• PROCESS_CREATE_THREAD
  
• PROCESS_DUP_HANDLE
  
• PROCESS_QUERY_INFORMATION
  
• PROCESS_SET_INFORMATION
  
• PROCESS_SET_QUOTA
  
• PROCESS_VM_OPERATION
  
• PROCESS_VM_READ
  
• PROCESS_VM_WRITE

Здравствуйте, Albeoris, Вы писали:

A>Есть процесс, запущенный из-под локального администратора.
A>Попытка снять с него дамп или открыть с полным набором прав, получить токен, завершается с Access Denied.
A>Установка в клиентском процессе SeDebugPrivilege не помогает.
A>Запуск клиентского процесса из-под System не помогает.

A>Идеи?

Версия Windows какая?

Можно попробовать достучаться через Process Hacker, он большинство базовых защит умеет обходить
(используя свой драйвер).

Но, как уже написали, доступ даже для администраторов и системной учетки может быть закрыт
встроенными средствами, это ObRegisterCallbacks и protected processes на Vista и выше, а еще
Protected Processes Light (Win8.1+) и Trustlets (Win10). Гугл — "The Evolution of Protected
Processes" и "Battle of SKM and IUM" (A. Ionescu).

Здравствуйте, CEMb, Вы писали:

CEM>Запустить дебагер из-под локального администратора и приаттачиться к процессу?

Я же написал, что даже под системным аккаунтом не получается. Под админом тоже.
Это не дебагер, а инжектор.

Здравствуйте, okman, Вы писали:

O>Но, как уже написали, доступ даже для администраторов и системной учетки может быть закрыт
O>встроенными средствами, это ObRegisterCallbacks и protected processes на Vista и выше, а еще
O>Protected Processes Light (Win8.1+) и Trustlets (Win10). Гугл — "The Evolution of Protected
O>Processes" и "Battle of SKM and IUM" (A. Ionescu).

Windows 7 x64
Увы. Попытка снять дамп через Process Hacker закончилась так же:

---------------------------
Process Hacker
---------------------------
Unable to create the minidump: Отказано в доступе.

То бишь теперь придётся проксировать все вызовы через самописный драйвер?
Мы можем зарезать права процессу, чтобы он не смог воспользоваться подобной защитой?

Здравствуйте, Albeoris, Вы писали:

A>Windows 7 x64
A>Увы. Попытка снять дамп через Process Hacker закончилась так же:

A>---------------------------
A>Process Hacker
A>---------------------------
A>Unable to create the minidump: Отказано в доступе.

Скорее всего, права доступа "зарубил" какой-то драйвер через ObRegisterCallbacks.

A>Мы можем зарезать права процессу, чтобы он не смог воспользоваться подобной защитой?

Установленные калбэки можно снять (на свой страх и риск) какой-нибудь антируткит-утилитой.
Например, GMER.