如何獲取進程特權（Windows驅動程序）？

Question

我的驅動程序中有一個IRP和EPROCESS對象，我想知道如何從這些結構中檢索進程特權（例如normal或Administrator或SYSTEM ）？

 KPROCESSOR_MODE ProcessRequestorMode = pIrp->RequestorMode;
        UNICODE_STRING PRM;
        if (ProcessRequestorMode == KernelMode)
            status = RtlInitUnicodeStringEx(&PRM, L"Kernel-Mode");
        else
        {
            status = RtlInitUnicodeStringEx(&PRM, L"User-Mode");
            //////////////////////////TODO////////////////////
            //retrieving process previlage
            //////////////////////////////////////////////////
        }
        DBGMSG1("Processor Mode : %wZ   ", PRM);
        if (!NT_SUCCESS(status))
        {
            DBGMSG0("Can not convert RequestorMode to UNICODE_STRING\n");
            ASSERT(FALSE);
            return status;
        }

Answer 1

此信息存儲在過程令牌中。
您可以使用PsReferencePrimaryToken獲得該信息，如果該過程正在模擬，則可以改為使用PsReferenceImpersonationToken。 之后，您只需使用ZwQueryInformationToken來查詢TokenUser的令牌。

祝好運，
加布里埃爾

如何獲取進程特權（Windows驅動程序）？

問題描述

1 個解決方案

解決方案1
0 已采納 2018-02-04 07:51:52

如何獲取進程特權（Windows驅動程序）？

問題描述

1 個解決方案

解決方案1 0 已采納 2018-02-04 07:51:52

解決方案1
0 已采納 2018-02-04 07:51:52