Маркер процесса определяет контекст защиты для процесса: пользовательский принципал, который процесс выполняет как, группы, что пользователь - элемент, и полномочия в масштабе всей системы, которые имеет учетная запись. Вкладка Security (показанный в рисунке 3-31) выводит на экран эти детали, так же как включаются ли файл Управления Учетной записью пользователя и виртуализация реестра для процесса, и ID терминального сеанса служб, в котором работает процесс. Выбор группы в Групповом списке выводит на экран свой Идентификатор безопасности (SID) ниже поля списка.
Рис. 3-31. Вкладка Security диалогового окна Свойств процесса.
При большинстве обстоятельств, особенно с настольными приложениями, проверки доступа выполняются с маркером процесса, или в некоторых случаях с маркером потока, полученным из маркера процесса, и это никогда не может иметь большего количества прав чем маркер процесса. Информация о вкладке Security может помочь объяснить успех или провал операций.
Службы и приложения сервера могут явиться олицетворением контекста защиты различного пользователя, выполняя действия от имени того пользователя. Олицетворение реализуется, связывая копию маркера другого пользователя с потоком в пределах процесса. Во время олицетворения проверки доступа выполняются с маркером потока, таким образом, в этих случаях маркер процесса не мог бы быть применимым. Диалоговое окно не показывает маркеры потока.
|
|
Я не буду входить в подробное описание маркерного содержания здесь, но я хотел бы указать на несколько полезных подсказок и разрешить некоторые распространенные заблуждения:
■ Практически, группу, у которой есть Отрицать набор флага, можно считать эффективно эквивалентной не присутствованию в маркере вообще. С Управлением Учетной записью пользователя мощные группы, такие как Администраторы отмечаются Только отрицаемые кроме в поднятых процессах. Отрицать флаг указывает, что, если у объекта есть позволенный доступу элемент списка управления доступом (ACE) для Администраторов в его полномочиях, что запись игнорируется, но если у этого есть ACE доступа запрещен для Администраторов (не распространенный), доступ лишается.
■ Полномочие, которое отмечается Отключенное, нисколько не является тем же самым как полномочием, не присутствующим. Если полномочие находится в маркере, программа может включить полномочию и затем использовать его. Если полномочие не присутствует, процесс не может получить его. Также важно отметить, что несколько полномочий считают эквивалентными администратору в Windows Vista и более новые. Windows никогда не позволяет этим полномочиям появиться в стандартном пользовательском маркере.
|
|
■ Если присоединенный доменом компьютер не может связаться с доменным контроллером и не кэшировал результаты предыдущих поисков SID к имени, он не может преобразовать SID для маркерных групп в названия группы. В этом случае Procexp выведет на экран SID.
■ Группа под названием SID Входа в систему основана на случайном числе, сгенерированном в то время, когда пользователь входил в систему. Одно из его использования должно предоставить доступ к терминальному серверу специфичные для сеанса ресурсы. SID входа в систему всегда начинаются с S-1-5-5-.
Кнопка Permissions выводит на экран дескриптор безопасности для объекта процесса непосредственно — то есть, кто может выполнить который действия на процессе.
Вкладка среды.
Вкладка Environment перечисляет переменные окружения процесса и их соответствующие значения. Процессы обычно наследовали свои переменные окружения от их родительского процесса, и очень часто, блоки среды всех процессов будут существенно эквивалентны. Однако, могут быть исключения:
■ Процесс Aparent может определить различный набор переменных окружения для дочернего процесса.
■ Каждый процесс может добавить, удалить, или изменить свои собственные переменные окружения.
■ Когда сообщение широковещательно передается, предупреждая рабочие процессы, что конфигурация переменной окружения для системы изменилась, не, все процессы получают уведомление (особенно консольные программы), и не все процессы обновит их собственный блок среды с новыми настройками.
Строковая Вкладка.
Вкладка Strings диалогового окна Свойств процесса (показанный в рисунке 3-32) показывает все последовательности трех или больше печатаемых символов, найденных в файле изображения процесса. Если переключатель Image устанавливается, строки читаются из файла изображения на диске. Если переключатель Memory устанавливается, строки читаются из диапазона памяти, в котором отображается исполняемый файл. Отметьте, что это не осматривает всю фиксировавшую память в виртуальном адресном пространстве процесса — только область, где исполнимая программа отображается. Изображение и строки памяти могут отличаться, когда изображение распаковывается, или они могут дешифрованный когда загружено в память. Строки памяти могут также включать динамически созданные области данных диапазона памяти изображения.
Примечание. В программировании термин "строка" относится к структуре данных, состоящей из последовательности символов, обычно представляя удобочитаемый текст.
Рис. 3-32. Вкладка Strings диалогового окна Свойств процесса.
Нажмите кнопку Save, чтобы сохранить выведенные на экран строки к текстовому файлу. Чтобы сравнить изображение и строки памяти, сохраните образ и строки памяти, чтобы разделить файлы и затем идентифицировать различия для утилиты текстового сравнения.
Чтобы искать определенный текст в строковом списке, нажмите кнопку Find, чтобы вывести на экран стандартное диалоговое окно Находки. Чтобы искать дополнительные возникновения того же самого текста, просто нажмите F3 или щелкните по Find и Find Затем снова — поиск продолжается от в настоящий момент выбранной строки.
Вкладка сл у жб.
Службы Windows, выполненные в (обычно неинтерактивная) процессы, которые могут быть сконфигурированы, чтобы запуститься независимо от любого пользователя, входящего в систему и которыми управляют через стандартный интерфейс с Диспетчером управления службами. Многократные службы могут быть сконфигурированы, чтобы совместно использовать единственный процесс. Типичный пример этого может быть замечен в Svchost.exe, который специально предназначен, чтобы разместить многократные службы, реализованные в отдельных DLL.
|
|
Если выбранный процесс размещает одну или более служб, диалоговое окно Свойств процесса добавляет вкладку Services, как показано в рисунке 3-33. Его поле списка перечисляет внутренние имена и имена дисплея для каждой службы, и для служб, размещенных в пределах Svchost.exe процесс, путь к DLL, который реализует службу. Выбор службы в списке выводит на экран свое описание ниже поля списка.
Рис. 3-33. Вкладка Services процесса.