windows 安全模型简介

操作系统中有些资源是不能由用户代码直接访问的,比如线程进程,文件等等,这些资源必须由系统级代码由RING3层进入到RING0层操作,并且返回一些标识供用户程序使用,一般调用某个函数陷入到内核,这样的函数叫做系统调用,而有些不直接陷入到内核,一般叫做系统API,linux中使用系统调用,而windows中封装了一系列的API。

windows对象与句柄

windows对象

操作系统为了安全,提供了一种保护机制,这种机制会禁止用户操作某些资源,避免用户过于关注细节,或者由于操作不当而造成系统崩溃。windows中将所有这些资源封装成了一个个对象。对象就是操作系统为了维护这些资源而定义的一系列的数据结构。对象这个词我们很容易联想到面向对象编程语言中的对象,对象其实就是对一些数据以及操作这些数据的一个封装,而windows是采用面向对象思想开发的,所以我们可以将windows中的对象想象成面向对象中的对象,而windows针对每种对象都提供了操作函数,这些函数一般都会以句柄作为第一个参数,这就有点像类函数中传入的this指针。而这操作对象的函数就是类函数。
windows中总共有三种对象:GUI对象、GDI对象、内核对象。

windows中的句柄

windows中对象的操作是由系统提供的一系列的API函数来完成,这些函数有一个共同特点,就是以HANDLE 句柄作为第一个参数,windows中采用句柄来唯一标识每个内核对象。在windows中句柄的定义如下:

typedef void * HANDLE

从上面的定义可以看出,这个句柄应该是指向这个对象的结构体的指针。由于每次在程序启动时内存都是随机分配的,所以句柄不要使用硬编码的方式,同时在复制内核对像的时候,并不是简单的复制它的句柄,对象的复制有专门的函数,DuplicateHandle,该函数原型如下:

BOOL DuplicateHandle(
  HANDLE hSourceProcessHandle, //源对象所在进程句柄
  HANDLE hSourceHandle, //源对象句柄
  HANDLE hTargetProcessHandle, //目标对象所在进程句柄
  LPHANDLE lpTargetHandle, //返回目标对象的句柄
  DWORD dwDesiredAccess, //以何种权限复制
  BOOL bInheritHandle, //复制的对象句柄是否可继承
  DWORD dwOptions //标记一些特殊的动作
);

下面是一个例子代码:

HANDLE hMutex = CreateMutex(NULL, FALSE, NULL);
    HANDLE hMutexDup, hThread;
    DWORD dwThreadId;

    DuplicateHandle(GetCurrentProcess(),hMutex,GetCurrentProcess(),&hMutexDup, 
        0,FALSE,DUPLICATE_SAME_ACCESS);

上述代码在本进程中复制了一个互斥对象对象的句柄。

windows 安全对象模型

这里写图片描述
windows中的内核对象由进程和线程进行操作,而对象就好像一个被锁上的房间,进程想要访问对象,并对对象进程某种操作,就必须获取这个对象的钥匙,而线程就好像拥有钥匙的人,只有钥匙是对的,才可以访问。这把锁能够由不同的钥匙打开,这些钥匙信息存储在ACE中,而只有当ACE中的信息与访问字串这个钥匙匹配才可以打开。我们一般把这个钥匙称为访问字串(Token)

访问字串

访问字串主要包括:用户标识、组标识、优先权信息、以及其他访问信息。
用户标识:用于唯一标识每个用户,就好像为每个用户都分配了一个唯一的用户ID
组标识:用户所属组的唯一标识ID
优先权:一般系统对每个用户以及它所属组分配了一些权限,而有的时候这些权限并不够,这个时候需要通过这个优先权信息额外新增一些权限
当用户登录windows系统时,系统就为这个用户分配了一个带有该用户信息的访问字串,该用户创建的每个安全对象都有这个访问字串的拷贝,当用户打开的进程试图访问某个安全对象时系统就在对象的ACL中查找该用户是否有某项权限。有这个权限才能对对象进行这项操作。
子进程的访问字串一般继承与父进程,但是子进程也可以自行创建访问字串来覆盖原来的访问字串。
操作访问字串所使用的API主要有以下几个:
OpenProcessToken //打开进程的访问令牌
OpenThreadToken //打开线程的访问令牌
AdjustTokenGroups //改变用户组的访问令牌
AdjustTokenPrivileges //改变令牌的访问特权
GetTokenInformation //获取访问令牌的信息
SetTokenInformation //设置访问令牌信息

下面主要介绍一下函数GetTokenInformation 的用法:

BOOL WINAPI GetTokenInformation(
  __in          HANDLE TokenHandle, //访问字串的句柄
  __in          TOKEN_INFORMATION_CLASS TokenInformationClass, //需要返回访问字串哪方面的信息
  __out_opt     LPVOID TokenInformation, //用于接收返回信息的缓冲
  __in          DWORD TokenInformationLength, //缓冲的长度
  __out         PDWORD ReturnLength //实际所需的缓冲的长度
);

这个函数可以返回访问令牌多方面的信息,具体返回哪个方面的信息,需要通过第二个参数来指定,这个参数是一个枚举类型,表示需要获取的信息,每个方面的信息都定义了对应的结构体,这些信息可以由MSDN中查到。另外这个函数支持两次调用,第一次传入NULL指针和0长度,这样通过最后一个参数可以得到具体所需要的缓冲的大小。

SID

访问字串中用户与用户组采用安全标识符的方式唯一标识(Security Indentifer SID),系统中的SID是唯一的。它主要用来标识下面的这些内容:
1. 安全描述符中的所有者和用户组
2. 被ACE认可的访问者
3. 访问字串的用户和组
SID的长度是可变的,在使用时不应该使用SID这个数据类型,因为这个时候还不知道需要的长度是多少,应该由系统来创建并返回它的指针,所以在使用时需要使用SID的指针。下面是一些操作SID的API
AllocateAndInitializeSid //初始化一个SID
FreeSid //释放一个SID
CopySid //拷贝一个SID
EqualSid //判断两个SID是否相等
GetLengthSid //获取SID的长度
IsValidSid //是否是有效的SID
ConvertSidToStringSid //将SID转化为字符串的方式
下面是一个利用这些API获取系统用户组的SID和当前登录用户的SID的例子:

BOOL GetLoginSid(HANDLE hToken, PSID *ppsid);
//SID本身大小是不可知的,所以在传入参数时应该传入2级指针,由函数自己决定大小
void FreeSid(PSID *ppsid);
int _tmain(int argc, TCHAR* argv[])
{
    setlocale(LC_ALL, "chs");
    HANDLE hProcess = GetCurrentProcess();
    HANDLE hToken = NULL;
    OpenProcessToken(hProcess, TOKEN_ALL_ACCESS, &hToken);
    PSID pSid = NULL;
    GetLoginSid(hToken, &pSid);
    LPTSTR pStringSid = NULL;
    ConvertSidToStringSid(pSid, &pStringSid);
    _tprintf(_T("当前登录的用户sid = %s\n"), pStringSid);
    FreeSid(&pSid);
    return 0;
}

BOOL GetLoginSid(HANDLE hToken, PSID *ppsid)
{
    TOKEN_GROUPS *ptg = NULL;
    BOOL bSuccess = FALSE;
    DWORD dwLength = 0;

    if(!GetTokenInformation(hToken, TokenGroups, ptg, 0, &dwLength))
    {
        if (ERROR_INSUFFICIENT_BUFFER != GetLastError())
        {
            goto __CLEAN_UP;
        }

        ptg = (TOKEN_GROUPS*)HeapAlloc(GetProcessHeap(), HEAP_ZERO_MEMORY, dwLength);

        if (!GetTokenInformation(hToken, TokenGroups, ptg, dwLength, &dwLength))
        {
            goto __CLEAN_UP;
        }
    }

    _tprintf(_T("共找到%d个组SID\n"), ptg->GroupCount);
    LPTSTR pStringSid = NULL;
    for (int i = 0; i < ptg->GroupCount; i++)
    {
        ConvertSidToStringSid(ptg->Groups[i].Sid, &pStringSid);
        _tprintf(_T("\t id = %d sid = %s"), i, pStringSid);
        if ((ptg->Groups[i].Attributes & SE_GROUP_LOGON_ID) ==  SE_GROUP_LOGON_ID)
        {
            _tprintf(_T("此用户为当前登录的用户"));
            *ppsid = (PSID)HeapAlloc(GetProcessHeap(), HEAP_ZERO_MEMORY, dwLength); 
            CopySid(dwLength, *ppsid, ptg->Groups[i].Sid);
        }

        _tprintf(_T("\n"));
    }


__CLEAN_UP:
    if (ptg != NULL)
    {
        HeapFree(GetProcessHeap(), 0, ptg);
    }
    return bSuccess;
}

void FreeSid(PSID *ppsid)
{
    HeapFree(GetProcessHeap(), 0, *ppsid);
    *ppsid = NULL;
}

这个例子是MSDN中的一个例子,上述代码中首先获取进程的访问令牌,然后通过函数GetTokenInformation 获取访问令牌的信息。通过传入TokenGroups这个值获取当前用户所在用户组的访问字串。并将信息保存到结构体TOKEN_GROUPS中最后通过(ptg->Groups[i].Attributes & SE_GROUP_LOGON_ID) == SE_GROUP_LOGON_ID这样一个表达式来判断当前的SID是否是登录用户的。

优先权

优先权是由字符串标识的局部唯一的标识符(LUID)
优先权是由系统管理员分配给对应的用户,一般不能通过编程的方式提升用户的优先权,但是有时候即使用户具有某个优先权,但是它启动的程序并不具有相关的优先权。这个时候可以通过编程的方式提升用户进程特权。
系统有3个值代表一个优先权:
字符串名,整个系统上都有意义,称为全局名,这个字符串并不是一个可读的字符串,显示出来的信息不一定能看得懂。
显示给用户的可读名称;如:改变系统时间(可以在组策略中查看)
每个计算机都不同的局部值;
下面有几个常用的优先权:

#define SE_DEBUG_NAME  TEXT("SeDebugPrivilege") //调试进程
#define SE_LOAD_DRIVER_NAME TEXT("SeLoadDriverPrivilege") //装载驱动
#define SE_LOCK_MEMORY_NAME TEXT("SeLockMemoryPrivilege") //锁定内存页面
#define SE_SHUTDOWN_NAME TEXT("SeShutdownPrivilege") //关机

下面是几个优先权函数
LookupPrivilegeValue //查询优先权的值
LookupPrivilegeDisplayName //查询优先权的输出名
LookupPrivilegeName //查询优先权的名称
PrivilegeCheck //优先权信息检查
下面是一个获取用户特权信息的代码:

int _tmain(int argc, TCHAR *argv[])
{
    setlocale(LC_ALL, "chs");
    HANDLE hToken = NULL;
    HANDLE hProcess = GetCurrentProcess();
    OpenProcessToken(hProcess, TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken);
    TOKEN_PRIVILEGES* ptg = NULL;
    DWORD dwTgSize = 0;
    TCHAR szName[255] = _T("");
    TCHAR szDisplay[255] = _T("");
    DWORD languageID = GetUserDefaultLangID();
    if (!GetTokenInformation(hToken, TokenPrivileges, ptg, 0, &dwTgSize))
    {
        if (ERROR_INSUFFICIENT_BUFFER != GetLastError())
        {
            _tprintf(_T("获取令牌失败\n"));
            return 0;
        }

        ptg = (TOKEN_PRIVILEGES*)HeapAlloc(GetProcessHeap(), HEAP_ZERO_MEMORY, dwTgSize);
        if (!GetTokenInformation(hToken, TokenPrivileges, ptg, dwTgSize, &dwTgSize))
        {
            _tprintf(_T("读取令牌信息失败\n"));
            return 0;
        }
    }

    _tprintf(_T("用户的特权信息:\n"));
    for(int i = 0; i < ptg->PrivilegeCount; i++)
    {
        DWORD dwName = sizeof(szName) / sizeof(TCHAR);
        DWORD dwDisplay = sizeof(szDisplay) / sizeof(TCHAR);

        LookupPrivilegeName(NULL, &ptg->Privileges[i].Luid, szName, &dwName);
        LookupPrivilegeDisplayName(NULL, szName, szDisplay, &dwDisplay, &languageID);

        _tprintf(_T("\t 特权名%s %s"), szName, szDisplay);
        if (ptg->Privileges[i].Attributes & ((SE_PRIVILEGE_ENABLED | SE_PRIVILEGE_ENABLED_BY_DEFAULT)))
        {
            _tprintf(_T("特权开放\n"));
        }else
        {
            _tprintf(_T("特权关闭\n"));
        }
    }

    HeapFree(GetProcessHeap(), 0, ptg);
    return 0;
}

下面是进程提权的代码:

int _tmain(int argc, TCHAR *argv[])
{
    HANDLE hToken = NULL;
    HANDLE hProcess = GetCurrentProcess();

    SetPrivileges(hToken, SE_TCB_NAME , TRUE);
    return 0;
}

BOOL SetPrivileges(HANDLE hToken, LPTSTR lpPrivilegesName, BOOL bEnablePrivilege)
{
    //获取Token的特权信息
    LUID uid = {0};
    LookupPrivilegeValue(NULL, lpPrivilegesName, &uid);
    TOKEN_PRIVILEGES tp = {0};
    tp.PrivilegeCount = 1;
    tp.Privileges[0].Luid = uid;
    if (bEnablePrivilege)
    {
        tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
    }else
    {
        tp.Privileges[0].Attributes = 0;
    }

    AdjustTokenPrivileges(hToken, FALSE, &tp, sizeof(TOKEN_PRIVILEGES), NULL, NULL);

    if ( GetLastError() == ERROR_NOT_ALL_ASSIGNED )
    {
        _tprintf(_T("分配指定的特权(%s)失败. \n"),lpPrivilegesName);
        return FALSE;
    } 
    return TRUE;
}

安全描述符

安全描述符中通常包含信息:所有者、主组、任选访问控制列表(DACL)、系统访问控制列表(SACL)
安全描述符是以SECURITE_DESCRIPTOR结构开始,后面连续跟着安全描述符的其它信息

访问控制列表

访问控制列表(Access Control List ACL)主要由多个访问访问控制入口(Access Control Entries ACE)组成。ACE用于标识一个用户、组或局部组以及它们中每一个允许的访问权;

安全描述符的创建

在创建安全访问对象的函数中一般都需要填入一个SECURITY_ATTRIBUTES结构体的指针,我们要么给定一个NULL值使其具有默认的安全属性,或者自己创建一个安全描述符并将他的指针传入。
创建一个安全描述符主要有下面几步:
1. 用函数 AllocateAndInitializeSid 创建用户的SID。函数的定义如下:

BOOL WINAPI AllocateAndInitializeSid(
  __in          PSID_IDENTIFIER_AUTHORITY pIdentifierAuthority, //用于表示该SID标识的颁发机构
  __in          BYTE nSubAuthorityCount,  //SID有多少个子部分
  __in          DWORD dwSubAuthority0, //第0个子部分
  __in          DWORD dwSubAuthority1,
  __in          DWORD dwSubAuthority2,
  __in          DWORD dwSubAuthority3,
  __in          DWORD dwSubAuthority4,
  __in          DWORD dwSubAuthority5,
  __in          DWORD dwSubAuthority6,
  __in          DWORD dwSubAuthority7,
  __out         PSID* pSid //返回一个PSID的指针
);

SID主要由一个颁发机构以及一个或者多个32位的唯一的RID组成这些RID通过参数dwSubAuthority0到dwSubAuthority7生成。对应的用户SID都有固定的组合。这个我还没找到具体的用户与SID是如何定义的。
2. 为该用户SID分配访问控制权限,主要通过填充结构体EXPLICIT_ACCESS成员来实现,这个结构体的定义如下:

typedef struct _EXPLICIT_ACCESS {  
    DWORD grfAccessPermissions; //制定用户权限
    ACCESS_MODE grfAccessMode; //用于表示允许、拒绝、审查特定用户的权限
    DWORD grfInheritance; //当前的权限是否可以继承
    TRUSTEE Trustee; //这是一个访问托管
} EXPLICIT_ACCESS,  *PEXPLICIT_ACCESS;

3.用API SetEntriesInAcl将上述结构体放入到ACL中
4. 分配并初始化SECURITY_DESCRIPTOR结构体,初始化该结构体所用到的API 是InitializeSecurityDescriptor
5. 将SECURITY_DESCRIPTOR结构加入到安全描述符中,安全描述符的结构体是:SECURITY_ATTRIBUTES
下面是一个具体的例子(这个例子来自MSDN):

    SID_IDENTIFIER_AUTHORITY SIDAuthorityNT = SECURITY_WORLD_SID_AUTHORITY;
    SID_IDENTIFIER_AUTHORITY SIDAuthorityWord = SECURITY_NT_AUTHORITY;
    PSID pEveryOneSid = NULL;
    PSID pAdminSid = NULL;
    EXPLICIT_ACCESS ea[2] = {0};
    PACL pAcl = NULL;
    //创建everyone用户的SID
    AllocateAndInitializeSid(&SIDAuthorityWord, 1, SECURITY_WORLD_RID, 0, 0, 0, 0, 0, 0, 0, &pEveryOneSid);
    PSECURITY_DESCRIPTOR pSD = NULL;
    //定义everyone 的访问控制信息
    ea[0].grfAccessMode = SET_ACCESS; //用于表示允许、拒绝、审查特定用户的权限
    ea[0].grfAccessPermissions = KEY_READ; //制定用户权限
    ea[0].grfInheritance = FALSE;
    ea[0].Trustee.TrusteeType = TRUSTEE_IS_WELL_KNOWN_GROUP;
    ea[0].Trustee.TrusteeForm = TRUSTEE_IS_SID;
    ea[0].Trustee.ptstrName = (LPTSTR)pEveryOneSid;

    //创建administor用户组的SID
    AllocateAndInitializeSid(&SIDAuthorityNT, 2, SECURITY_BUILTIN_DOMAIN_RID,DOMAIN_ALIAS_RID_ADMINS, 0, 0, 0, 0, 0, 0, &pAdminSid);
    ea[1].grfAccessMode = SET_ACCESS;
    ea[1].grfAccessPermissions = KEY_ALL_ACCESS;
    ea[1].grfInheritance = FALSE;
    ea[1].Trustee.TrusteeForm = TRUSTEE_IS_SID;
    ea[1].Trustee.TrusteeType = TRUSTEE_IS_GROUP;
    ea[1].Trustee.ptstrName = (LPTSTR)pAdminSid;

    //将以上两个SID加入到ACL中
    SetEntriesInAcl(2, ea, NULL, &pAcl);
    pSD = (PSECURITY_DESCRIPTOR) HeapAlloc(GetProcessHeap(), 0, SECURITY_DESCRIPTOR_MIN_LENGTH); 

    //初始化一个SECURITY_DESCRIPTOR结构
    InitializeSecurityDescriptor(&pSD, SECURITY_DESCRIPTOR_REVISION);

    //将SECURITY_DESCRIPTOR结构加入到安全描述符中
    SECURITY_ATTRIBUTES sa = {0};
    sa.bInheritHandle = FALSE;
    sa.lpSecurityDescriptor = pSD;
    sa.nLength = sizeof(SECURITY_ATTRIBUTES);

    HKEY hkSub = NULL;
    DWORD dwDisposition = 0;
    RegCreateKeyEx(HKEY_CURRENT_USER, _T("mykey"), 0, _T(""), 0,    KEY_READ | KEY_WRITE, &sa, &hkSub, &dwDisposition);

    if (pEveryOneSid) 
    {
        FreeSid(pEveryOneSid);
    }
    if (pAdminSid) 
    {
        FreeSid(pAdminSid);
    }
    if (pAcl) 
    {
        LocalFree(pAcl);
    }
    HeapFree(GetProcessHeap(), 0, pSD);
    if (hkSub)
    {
        RegCloseKey(hkSub);
    }
posted @ 2017-10-24 20:55  masimaro  阅读(456)  评论(0编辑  收藏  举报