Определение Integrity Level для процесса на c#

В Windows Vista появился дополнительный механизм защиты – Integrity Levels. В зависимости от его уровня различаются и возможности приложения по работе с защищенными ресурсами системы. Поэтому актуальной задачей является определение значения Integrity Level процесса. В MSDN есть пример по определению Integrity Level текущего процесса для неуправляемого кода (статья Appendix D: Getting the Integrity Level for an Access Token). Ниже я привел подобный код на C#. Я постарался сохранить стиль кода с оригиналом, что бы их было проще сравнивать. Так же, на мой взгляд, в оригинальном примере есть ошибка в определении уровней High и System. Поэтому я заменил фрагмент кода
else if (dwIntegrityLevel >= SECURITY_MANDATORY_HIGH_RID) 
{ 
    // High Integrity
    ... 
}

на
else if (dwIntegrityLevel >= SECURITY_MANDATORY_HIGH_RID && 
          dwIntegrityLevel < SECURITY_MANDATORY_SYSTEM_RID) 
{ 
    // High Integrity 
    ... 
}

А вот и пример консольного приложения, которое определяет свой текущий Integrity Level.
using System;
using System.Collections.Generic;
using System.Text;
using System.Runtime.InteropServices;
using System.Security.Principal;
using System.Diagnostics;

namespace IntegrityLevel
{
    class Program
    {
        static void Main(string[] args)
        {
            ShowProcessIntegrityLevel();
        }

        public static void ShowProcessIntegrityLevel()
        {
            IntPtr hProcess = Process.GetCurrentProcess().Handle;
            IntPtr hToken;
            if (!OpenProcessToken(hProcess, 
                    TokenAccessLevels.MaximumAllowed,
                    out hToken))
            {
                return;
            }

            try
            {
                uint dwLengthNeeded;
                if (GetTokenInformation(hToken,
                        TOKEN_INFORMATION_CLASS.TokenIntegrityLevel,
                        IntPtr.Zero,
                        0,
                        out dwLengthNeeded))

                uint dwError = (uint)Marshal.GetLastWin32Error();
                if (dwError == ERROR_INSUFFICIENT_BUFFER)
                {
                    IntPtr pTIL = Marshal.AllocHGlobal((int)dwLengthNeeded);
                    try
                    {
                        if (!GetTokenInformation(hToken, 
                                                 TOKEN_INFORMATION_CLASS.TokenIntegrityLevel, 
                                                 pTIL, 
                                                 dwLengthNeeded, 
                                                 out dwLengthNeeded))
                        {
                            return;
                        }

                        TOKEN_MANDATORY_LABEL TIL = 
                            (TOKEN_MANDATORY_LABEL)Marshal.PtrToStructure(pTIL, 
                                typeof(TOKEN_MANDATORY_LABEL));

                        IntPtr SubAuthorityCount = GetSidSubAuthorityCount(TIL.Label.Sid);

                        IntPtr IntegrityLevelPtr = GetSidSubAuthority(TIL.Label.Sid, 
                            Marshal.ReadByte(SubAuthorityCount) - 1);

                        int dwIntegrityLevel = Marshal.ReadInt32(IntegrityLevelPtr);

                        if (dwIntegrityLevel == SECURITY_MANDATORY_LOW_RID)
                        {
                            // Low Integrity
                            Console.WriteLine("Low Process");
                        }
                        else if (dwIntegrityLevel >= SECURITY_MANDATORY_MEDIUM_RID &&
                             dwIntegrityLevel < SECURITY_MANDATORY_HIGH_RID)
                        {
                            // Medium Integrity
                            Console.WriteLine("Medium Process");
                        }
                        else if (dwIntegrityLevel >= SECURITY_MANDATORY_HIGH_RID &&
                             dwIntegrityLevel < SECURITY_MANDATORY_SYSTEM_RID)
                        {
                            // High Integrity
                            Console.WriteLine("High Integrity Process");
                        }
                        else if (dwIntegrityLevel >= SECURITY_MANDATORY_SYSTEM_RID)
                        {
                            // System Integrity
                            Console.WriteLine("System Integrity Process");
                        }
                    }
                    finally
                    {
                        Marshal.FreeHGlobal(pTIL);
                    }
                }
            }
            finally
            {
                CloseHandle(hToken);
            }
        }

        // interop
        const uint ERROR_INSUFFICIENT_BUFFER = 122;
        const long SECURITY_MANDATORY_LOW_RID = 0x00001000L;
        const long SECURITY_MANDATORY_MEDIUM_RID = 0x00002000L;
        const long SECURITY_MANDATORY_HIGH_RID = 0x00003000L;
        const long SECURITY_MANDATORY_SYSTEM_RID = 0x00004000L;

        enum TOKEN_INFORMATION_CLASS
        {
            TokenUser = 1,
            TokenGroups = 2,
            TokenPrivileges = 3,
            TokenOwner = 4,
            TokenPrimaryGroup = 5,
            TokenDefaultDacl = 6,
            TokenSource = 7,
            TokenType = 8,
            TokenImpersonationLevel = 9,
            TokenStatistics = 10,
            TokenRestrictedSids = 11,
            TokenSessionId = 12,
            TokenGroupsAndPrivileges = 13,
            TokenSessionReference = 14,
            TokenSandBoxInert = 15,
            TokenAuditPolicy = 16,
            TokenOrigin = 17,
            TokenElevationType = 18,
            TokenLinkedToken = 19,
            TokenElevation = 20,
            TokenHasRestrictions = 21,
            TokenAccessInformation = 22,
            TokenVirtualizationAllowed = 23,
            TokenVirtualizationEnabled = 24,
            TokenIntegrityLevel = 25,
            TokenUIAccess = 26,
            TokenMandatoryPolicy = 27,
            TokenLogonSid = 28,
            MaxTokenInfoClass = 29
        }

        [StructLayout(LayoutKind.Sequential)]
        struct TOKEN_MANDATORY_LABEL
        {
            public SID_AND_ATTRIBUTES Label;
        }

        [StructLayout(LayoutKind.Sequential)]
        struct SID_AND_ATTRIBUTES
        {
            public IntPtr Sid;
            public int Attributes;
        }

        [DllImport("kernel32.dll", SetLastError = true)]
        [return: MarshalAs(UnmanagedType.Bool)]
        static extern bool CloseHandle(IntPtr hObject);

        [DllImport("advapi32.dll", SetLastError = true)]
        [return: MarshalAs(UnmanagedType.Bool)]
        static extern bool OpenProcessToken(IntPtr ProcessHandle,
            TokenAccessLevels DesiredAccess,
            out IntPtr TokenHandle);

        [DllImport("advapi32.dll", SetLastError = true)]
        static extern bool GetTokenInformation(IntPtr TokenHandle,
            TOKEN_INFORMATION_CLASS TokenInformationClass,
            IntPtr TokenInformation,
            uint TokenInformationLength,
            out uint ReturnLength);

        [DllImport("kernel32.dll")]
        static extern IntPtr LocalAlloc(uint uFlags, UIntPtr uBytes);

        [DllImport("advapi32.dll", SetLastError = true)]
        static extern IntPtr GetSidSubAuthority(IntPtr pSid, int nSubAuthority);

        [DllImport("advapi32.dll", SetLastError = true)]
        static extern IntPtr GetSidSubAuthorityCount(IntPtr pSid);
    }
}

Комментарии

Отправить комментарий

Популярные сообщения из этого блога

Команды docker save/load, docker export/import – в чем отличие, как и когда ими пользоваться

Изображение
В этой статье я хочу рассказать про пары команды docker save/load и docker export/import, показать примеры их использования и рассказать чем они отличаются. Да и как обычно, если тексту с картинками вы предпочитаете видео, то вот моя видео-инструкция на YouTube. Команды docker save и docker load Начнем с пары docker save/load. Эта пара команд работает с докер-имиджами. Команда docker save сохраняет имидж с локальной машины в tar-архив. Этот архив содержит всю необходимую информацию, чтобы потом восстановить докер-имидж. Восстановление докер-имиджа из tar-архива производится командой docker load.  Теперь посмотрим на примере как это делается. У меня локально есть докер-имидж “alpine”.  Чтобы сохранить его как tar-архив воспользуемся командой  docker save alpine -o alpine-image.tar Обратите внимание, на ключ  “-o“. Он позволяет указать имя файла, в который надо сохранить докер-имидж. Теперь я удалю этот имидж из системы командой  docker image rm alpine  Как вы видите, никаких имиджей у м
Далее...

Как узнать, кто заблокировал файл или папку

Изображение
Я регулярно пользуюсь утилитами Sysinternals и хочу поделиться одним из cпособов как при помощи Process Explorer выяснить какой процесс заблокировал доступ к файлу или папке. Использовать утилиты очень удобно – они бесплатны, не требуют инсталляции и могут быть запущены без предварительного скачивания из интернета (см http://live.sysinternals.com/ ). Последние 2 пункта делают их очень удобными при анализе и устранении проблем на серверах. Я недавно завел Ютуб-канал, где выкладываю видео по теме блога. Приглашаю Вас посмотреть и подписаться что бы не пропустить новые выпуски. Итак, как же узнать, кто держит тот или иной файл или папку. Для скриншотов я смоделировал такую ситуацию нарочно, открыв в Word файл "D:\temp\Doc1.docx" и пытаясь его в это же время удалить в проводнике. При попытке удалить файл получаю следующее сообщение Поищем этот документ в Process Explorer: Find->Find Handle or DLL… В появившемся окне вводим имя заблокированного файла и жмем Search Двойной к
Далее...

Эрик Гамма переходит на работу в Майкрософт

Как пишет в своем блоге Janson Zanders, признанный эксперт в области разработки программного обеспечения, соавтор книги Design Patterns, один из разработчиков JUnit и Eclipse -- Эрик Гамма присоединится к команде разработчиков Visual Studio и возглавит Visual Studio development lab в Цюрихе. Подробнее здесь .
Далее...