オブジェクトの ACL の判別

デバッガーを使用して、オブジェクトのアクセス制御リスト (ACL) を調べることができます。

カーネル デバッグを実行する場合は、次のメソッドを使用できます。 ユーザー モード デバッグの実行中に使用するには、カーネル デバッガーに制御をリダイレクトする必要があります。 詳細については、「カーネル デバッガー からのユーザーモード デバッガーの制御」を参照してください。

最初に、対象のオブジェクトの名前そ指定して !object デバッガー拡張機能を使用します。

kd> !object \BaseNamedObjects\AgentToWkssvcEvent
Object: ffbb8a98  Type: (80e30e70) Event
    ObjectHeader: ffbb8a80
    HandleCount: 2  PointerCount: 3
    Directory Object: e14824a0  Name: AgentToWkssvcEvent

これは、オブジェクト ヘッダーにアドレス 0xFFBB8A80 があることを示しています。 dt (Display Type) コマンドは、このアドレスと nt!_OBJECT_HEADER 構造体名と共に使用します。

kd> dt nt!_OBJECT_HEADER ffbb8a80
   +0x000 PointerCount     : 3
   +0x004 HandleCount      : 2
   +0x004 NextToFree       : 0x00000002
 +0x008 Type             : 0x80e30e70
   +0x00c NameInfoOffset   : 0x10 '
 +0x00d HandleInfoOffset : 0 '
   +0x00e QuotaInfoOffset  : 0 '
   +0x00f Flags            : 0x20 ' '
   +0x010 ObjectCreateInfo : 0x8016b460
   +0x010 QuotaBlockCharged : 0x8016b460
   +0x014 SecurityDescriptor : 0xe11f08b6
   +0x018 Body             : _QUAD

セキュリティ記述子ポインター値は、0xE11F08B6 として表示されます。 この値の最小 3 ビットは、この構造体の先頭を超えるオフセットを表しているため、無視する必要があります。 つまり、SECURITY_DESCRIPTOR 構造体は、実際には 0xE11F08B6 & ~0x7 から始まります。 このアドレスで !sd 拡張子を使用します。

kd> !sd e11f08b0
->Revision: 0x1
->Sbz1    : 0x0
->Control : 0x8004
            SE_DACL_PRESENT
 SE_SELF_RELATIVE
->Owner   : S-1-5-32-544
->Group   : S-1-5-18
->Dacl    : 
->Dacl    : ->AclRevision: 0x2
->Dacl    : ->Sbz1       : 0x0
->Dacl    : ->AclSize    : 0x44
->Dacl    : ->AceCount   : 0x2
->Dacl    : ->Sbz2       : 0x0
->Dacl    : ->Ace[0]: ->AceType: ACCESS_ALLOWED_ACE_TYPE
->Dacl    : ->Ace[0]: ->AceFlags: 0x0
->Dacl    : ->Ace[0]: ->AceSize: 0x14
->Dacl    : ->Ace[0]: ->Mask : 0x001f0003
->Dacl    : ->Ace[0]: ->SID: S-1-5-18

->Dacl    : ->Ace[1]: ->AceType: ACCESS_ALLOWED_ACE_TYPE
->Dacl    : ->Ace[1]: ->AceFlags: 0x0
->Dacl    : ->Ace[1]: ->AceSize: 0x18
->Dacl    : ->Ace[1]: ->Mask : 0x00120001
->Dacl    : ->Ace[1]: ->SID: S-1-5-32-544

->Sacl    :  is NULL

このオブジェクトのセキュリティ情報が表示されます。