Windows 8.1引入了系统受保护进程的概念。这是在第三方反恶意软件的上下文中记录的,但可以合理地推测它也用于保护特别关键的系统进程。
系统受保护进程是受保护进程机制(Windows Vista引入的一种数字版权管理措施)的扩展。
即使具有调试特权,您也无法获得受保护进程的任何访问权限:
DELETE(删除)READ_CONTROL(读取控制)WRITE_DAC(写入Dac)WRITE_OWNER(写入Owner)PROCESS_CREATE_THREAD(创建线程)PROCESS_DUP_HANDLE(复制句柄)PROCESS_QUERY_INFORMATION(查询信息)PROCESS_SET_QUOTA(设置配额)PROCESS_SET_INFORMATION(设置信息)PROCESS_VM_OPERATION(虚拟内存操作)PROCESS_VM_READ(读取虚拟内存)PROCESS_VM_WRITE(写入虚拟内存)您仍然可以通过请求PROCESS_QUERY_LIMITED_INFORMATION访问打开进程。根据文档,还允许SYNCHRONIZE和PROCESS_TERMINATE访问。
PROCESS_QUERY_LIMITED_INFORMATION访问权限读取一些信息。这取决于你想要获取什么具体信息。 - Harry Johnston最近在运行Win32 OpenProcess API和CreateProcessAsUser时,我遇到了“拒绝访问”错误(在我的情况下是错误代码5)。在我的情况下,我正在Windows 10上运行,但我认为这类似,既然我已经解决了这个问题,我想分享一些帮助我的东西。
由于我使用的是C#,我的Win32方法签名如下:
[DllImport("kernel32.dll")]
private static extern IntPtr OpenProcess(uint dwDesiredAccess, bool bInheritHandle, uint dwProcessId);
影响成功访问现有进程的一个关键因素是正确定义正确的“期望访问”值,而在我的情况下,这是一个winlogon.exe进程。在我的情况下,我使用了一个常量“MAXIMUM_ALLOWED”,定义如下:
private const uint MAXIMUM_ALLOWED = 0x2000000;
IntPtr hProcess = OpenProcess(MAXIMUM_ALLOWED, false, targetWinlogonProcessId);
这只能在内核中完成。获取所需信息的最佳方法是:
PsLookupProcessByProcessId()
KeStackAttachProcess()
ZwQueryInformationProcess() or whatever other functions you need to now call within the context of the attached process.
KeStackDetachProcess()
如果你只是进行实验,并没有将任何东西放入生产代码中,那么你可以遍历各种半透明的结构(如EPROCESS、PEB、VAD等)来获取所需信息。