编程实现遍历ACL访问控制列表检查进程访问权限

上面简单介绍了本文要用到的也是Windows访问控制模型核心部分的一些知识，下面来介绍下如何编程实现遍历ACL来进行访问权限的检查。本文主要针对文件对象进行介绍，其他类型的对象大同小异。要用到的两个主要API为GetFileSecurity()和AccessCheck()。GetFileSecurity能够获取指定文件的安全描述符表，而AccessCheck可以指定要检查的权限，该函数能够将获得的安全描述符表与当前进程的Token进行检查来判断进程对该文件对象是否允许相应的权限。


不过这两个API并不那么容易用，因为其中要涉及到安全描述符表和访问令牌的获取，因此又牵扯出一大把API也涉及一些访问控制的知识。下面依次介绍要使用到的API然后给出整体的代码。GetFileSecurity的函数原型如下：
BOOL WINAPI GetFileSecurity(
 
__in LPCTSTR lpFileName,
 
__in SECURITY_INFORMATION RequestedInformation,
 
__out_opt PSECURITY_DESCRIPTOR pSecurityDescriptor,
 
__in DWORD nLength,
 
__out LPDWORD lpnLengthNeeded
 
);
lpFileName指定了要获取SD的文件。首先要定义一个PSECURITY_DESCRIPTOR的安全描述符表指针，因为描述符表大小未知，所以要调用两次GetFileSecurity()第一次将nLength置0，函数会返回实际大小，然后第二次用获取的大小去接收完整的SD，代码如下：文件开始部分定义的内存分配释放函数常量:
#define AllocMem(x) (HeapAlloc(GetProcessHeap(),HEAP_ZERO_MEMORY,x))
#define FreeMem(x) (HeapFree(GetProcessHeap(),HEAP_ZERO_MEMORY,x))
.......
BOOL bRs = FALSE;
DWORD dwSizeNeeded = 0;
PSECURITY_DESCRIPTOR psd = NULL;
SECURITY_INFORMATION　si = OWNER_SECURITY_INFORMATION
| GROUP_SECURITY_INFORMATION|DACL_SECURITY_INFORMATION;
bRs = GetFileSecurity(lpFileName,si,psd,0,&dwSizeNeeded);
//第一次调用获得SD实际大小
if(!bRs)
{
if(GetLastError() == ERROR_INSUFFICIENT_BUFFER)
{
psd = (PSECURITY_DESCRIPTOR)AllocMem(dwSizeNeeded);
//根据获取到的大小对psd分配内存
}else
{
printf("\n[-]Get SD failed:%d",GetLastError());
return bRs;
}
}
if(!GetFileSecurity(lpFileName,si,psd,dwSizeNeeded,&dwSizeNeeded))
{
printf("\n[-]Get SD failed:%d",GetLastError());
return bRs;
}

 

至此针对指定文件对象的安全描述符表已经得到，下一步需要提取出访问进程的访问令牌(Token)。首先调用OpenProcessToken()获得本进程的Token，参数比较简单参考MSDN吧。然后有个比较重要的内容：我们需要模拟获得的令牌，因为OpenProcessToken获得的是进程的初始Token，不能直接用于访问权限的判断，我们要调用DuplicateToken()以当前用户的身份模拟一个同样的Token出来，具体使用待会儿看代码吧。下面到了会让人比较困惑的地方：就是GENERIC_MAPPING这个结构体，这个开始看MSDN一直一头雾水，没理解到底怎么使用，MSDN上也没有代码实例。鼓捣了一上午最后发现其实很简单。比如我们使用CreateFile()创建一个文件的时候可以指定一些权限访问的标志如GENERIC_WRITE，GENERIC_READ等等。但是这些权限标志都是通用的标志，还可以用这些标志来创建或打开其他类型的对象。在表示文件对象的时候，这些通用标志所包含的实际文件对象特有的权限标志列表如下：