如何检索进程特权(windows驱动程序)?
如何检索进程特权(windows驱动程序)?
提问于 2017-12-20 11:27:43
我的驱动程序中有一个IRP和EPROCESS对象,我想知道如何从这些结构中检索进程特权(如、normal或Administrator或SYSTEM)?
KPROCESSOR_MODE ProcessRequestorMode = pIrp->RequestorMode;
UNICODE_STRING PRM;
if (ProcessRequestorMode == KernelMode)
status = RtlInitUnicodeStringEx(&PRM, L"Kernel-Mode");
else
{
status = RtlInitUnicodeStringEx(&PRM, L"User-Mode");
//////////////////////////TODO////////////////////
//retrieving process previlage
//////////////////////////////////////////////////
}
DBGMSG1("Processor Mode : %wZ ", PRM);
if (!NT_SUCCESS(status))
{
DBGMSG0("Can not convert RequestorMode to UNICODE_STRING\n");
ASSERT(FALSE);
return status;
}回答 1
Stack Overflow用户
回答已采纳
发布于 2018-02-04 07:51:52
此信息存储在进程令牌中。
如果进程是模拟的,您可以使用PsReferencePrimaryToken来获得它,您可以使用PsReferenceImpersonationToken代替。之后,您只需使用TokenUser查询令牌。
祝好运,
加布里埃尔
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/47904980
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号