判斷物件的 ACL
您可以使用除錯程式來檢查物件的 ACL) (存取控制清單。
如果您正在執行核心偵錯,可以使用下列方法。 若要在執行使用者模式偵錯時使用它,您必須將控制權重新導向至核心調試程式。 如需詳細資訊 ,請參閱從核心調試程式控制 User-Mode 調試程式 。
首先,使用 !object 調試程式延伸模組搭配有問題的物件名稱:
kd> !object \BaseNamedObjects\AgentToWkssvcEvent
Object: ffbb8a98 Type: (80e30e70) Event
ObjectHeader: ffbb8a80
HandleCount: 2 PointerCount: 3
Directory Object: e14824a0 Name: AgentToWkssvcEvent
這會顯示對象標頭具有位址0xFFBB8A80。 使用 dt (Display Type) 命令搭配此位址和 nt!_OBJECT_HEADER 結構名稱:
kd> dt nt!_OBJECT_HEADER ffbb8a80
+0x000 PointerCount : 3
+0x004 HandleCount : 2
+0x004 NextToFree : 0x00000002
+0x008 Type : 0x80e30e70
+0x00c NameInfoOffset : 0x10 '
+0x00d HandleInfoOffset : 0 '
+0x00e QuotaInfoOffset : 0 '
+0x00f Flags : 0x20 ' '
+0x010 ObjectCreateInfo : 0x8016b460
+0x010 QuotaBlockCharged : 0x8016b460
+0x014 SecurityDescriptor : 0xe11f08b6
+0x018 Body : _QUAD
安全性描述項指標值會顯示為0xE11F08B6。 這個值的最低 3 位代表超出此結構開頭的位移,因此您應該忽略它們。 換句話說,SECURITY_DESCRIPTOR 結構實際上會從 ~0x7 開始0xE11F08B6 &。 在這裡位址上使用 !sd 擴充功能:
kd> !sd e11f08b0
->Revision: 0x1
->Sbz1 : 0x0
->Control : 0x8004
SE_DACL_PRESENT
SE_SELF_RELATIVE
->Owner : S-1-5-32-544
->Group : S-1-5-18
->Dacl :
->Dacl : ->AclRevision: 0x2
->Dacl : ->Sbz1 : 0x0
->Dacl : ->AclSize : 0x44
->Dacl : ->AceCount : 0x2
->Dacl : ->Sbz2 : 0x0
->Dacl : ->Ace[0]: ->AceType: ACCESS_ALLOWED_ACE_TYPE
->Dacl : ->Ace[0]: ->AceFlags: 0x0
->Dacl : ->Ace[0]: ->AceSize: 0x14
->Dacl : ->Ace[0]: ->Mask : 0x001f0003
->Dacl : ->Ace[0]: ->SID: S-1-5-18
->Dacl : ->Ace[1]: ->AceType: ACCESS_ALLOWED_ACE_TYPE
->Dacl : ->Ace[1]: ->AceFlags: 0x0
->Dacl : ->Ace[1]: ->AceSize: 0x18
->Dacl : ->Ace[1]: ->Mask : 0x00120001
->Dacl : ->Ace[1]: ->SID: S-1-5-32-544
->Sacl : is NULL
這會顯示這個物件的安全性資訊。