ZwOpenProcessTokenEx 函数 (ntifs.h)

ZwOpenProcessTokenEx 例程打开与进程关联的访问令牌。

语法

NTSYSAPI NTSTATUS ZwOpenProcessTokenEx(
  [in]  HANDLE      ProcessHandle,
  [in]  ACCESS_MASK DesiredAccess,
  [in]  ULONG       HandleAttributes,
  [out] PHANDLE     TokenHandle
);

参数

[in] ProcessHandle

要打开其访问令牌的进程句柄。 句柄必须具有PROCESS_QUERY_INFORMATION访问权限。 使用 Ntddk.h 中定义的 NtCurrentProcess 宏指定当前进程。

[in] DesiredAccess

ACCESS_MASK 结构,指定访问令牌的请求访问类型。 这些请求的访问类型与令牌的任意访问控制列表 (DACL) 进行比较,以确定授予或拒绝了哪些访问。

[in] HandleAttributes

访问令牌句柄的属性。 目前仅支持OBJ_KERNEL_HANDLE。 如果调用方未在系统进程上下文中运行,则必须为此参数指定OBJ_KERNEL_HANDLE。

[out] TokenHandle

指向调用方分配的变量的指针,该变量接收新打开的访问令牌的句柄。

返回值

ZwOpenProcessTokenEx 返回STATUS_SUCCESS或适当的错误状态。 可能的错误状态代码包括:

返回代码 说明
STATUS_ACCESS_DENIED ProcessHandle 没有PROCESS_QUERY_INFORMATION访问权限。
STATUS_INSUFFICIENT_RESOURCES 无法分配新的令牌句柄。
STATUS_INVALID_HANDLE ProcessHandle 不是有效的句柄。
STATUS_INVALID_PARAMETER 指定的 HandleAttributes 不包括OBJ_KERNEL_HANDLE。
STATUS_OBJECT_TYPE_MISMATCH ProcessHandle 不是进程句柄。
STATUS_PRIVILEGE_NOT_HELD 调用方没有使用 DesiredAccess 参数中指定的访问权限创建令牌句柄所需的权限 (SeSecurityPrivilege) 。
STATUS_QUOTA_EXCEEDED 进程的内存配额不足以分配令牌句柄。
STATUS_UNSUCCESSFUL 无法创建令牌句柄。

注解

ZwOpenProcessTokenEx 打开与进程关联的访问令牌,并返回该令牌的句柄。

通过调用 ZwOpenProcessTokenEx 获得的任何句柄最终都必须通过调用 ZwClose 释放。

在系统进程以外的进程上下文中运行的驱动程序例程必须为 ZwOpenProcessTokenExHandleAttributes 参数设置 OBJ_KERNEL_HANDLE 属性。 这会将 ZwOpenProcessTokenEx 返回的句柄的使用限制为在内核模式下运行的进程。 否则,运行驱动程序的上下文中的进程可以访问句柄。

有关安全性和访问控制的详细信息,请参阅 面向驱动程序开发人员的 Windows 安全模型 和 Windows SDK 中有关这些主题的文档。

注意

如果在用户模式下调用 ZwOpenProcessTokenEx 函数,则应使用名称“NtOpenProcessTokenEx”而不是“ZwOpenProcessTokenEx”。

对于来自内核模式驱动程序的调用,Windows Native System Services 例程的 NtXxxZwXxx 版本在处理和解释输入参数的方式上的行为可能有所不同。 有关例程的 NtXxxZwXxx 版本之间的关系的详细信息,请参阅 使用本机系统服务例程的 Nt 和 Zw 版本

要求

要求
最低受支持的客户端 Windows XP
目标平台 通用
标头 ntifs.h (包括 Ntifs.h)
Library NtosKrnl.lib
DLL NtosKrnl.exe
IRQL PASSIVE_LEVEL
DDI 符合性规则 HwStorPortProhibitedDDI (storport) PowerIrpDDis (wdm)

另请参阅

ACCESS_MASK

ACL

PsDereferencePrimaryToken

使用本机系统服务例程的 Nt 和 Zw 版本

ZwClose

ZwOpenThreadTokenEx