【问题标题】:Determine file owner from a Windows kernel-mode driver从 Windows 内核模式驱动程序确定文件所有者
【发布时间】:2014-11-07 16:02:57
【问题描述】:

在使用 KMDF 的内核模式驱动程序中在 Windows 中使用 C,我如何确定文件的所有者 a?

我搜索了高低,但找不到任何提示。只有 C++,当然还有 Csharp。

【问题讨论】:

  • 那会在 Windows API 的某个地方。

标签: c windows winapi


【解决方案1】:

打开文件句柄后,您可以使用内核模式ZwQuerySecurityObject 获取所有者信息(和完整的 DACL)。

【讨论】:

  • 感谢您的回复,您能告诉我您是从哪里了解到的吗?我正在尝试开发一个非常简单的驱动程序,它将模仿 AppLocker 的行为,但有额外的规则,我发现很难获得相关材料。有没有关于 KMDF 开发或一般内核模式开发的好书?我已经拥有 Walter Oney 的 MS Windows Driver Model 2nd edition。
  • 我查看了 IDA 中用户模式 ​​GetFileSecurity 函数的实现,看看它调用了什么 NT 系统调用。
猜你喜欢
  • 1970-01-01
  • 2010-10-25
  • 2013-11-10
  • 1970-01-01
  • 2022-10-25
  • 1970-01-01
  • 2013-09-13
  • 2018-05-07
  • 1970-01-01
相关资源
最近更新 更多