是否可以以编程方式调整进程的权限,以便如果它在以后的任何时候创建子进程,它将始终(从不)对该进程的内存具有写访问权限?
我创建了一个由两个不同进程加载的 dll。在我的代码中的某个时刻,我创建了一个流程。我观察到,根据加载我的 dll 的进程,我要么拥有PAGE_EXECUTE_WRITECOPY或0访问子进程的内存。我的猜测是加载过程必须设置一些限制,导致这种行为,因为我没有为这两个过程做任何不同的事情。我查看了进程的安全信息,Process Explorer但没有发现两者之间的任何区别。该hToken值由调用我的 API 的调用者提供给我。这是造成这种情况的原因吗。如果是这样,我如何测试以确认?
CreateProcessAsUserW(hToken, exe, cmd_line, NULL, NULL,
false,
CREATE_SUSPENDED | CREATE_UNICODE_ENVIRONMENT | DETACHED_PROCESS | EXTENDED_STARTUPINFO_PRESENT | CREATE_BREAKAWAY_FROM_JOB,
NULL, NULL,
&si, &pi);
MEMORY_BASIC_INFORMATION buffer;
// 'address' is some valid address
SIZE_T num = VirtualQueryEx(pi.hProcess_handle, address,&buffer,sizeof(MEMORY_BASIC_INFORMATION));
if(num > 0)
{
DWORD access = buffer.AllocationProtect; // 0x0 or 0x80 depending on which process loads dll
DWORD state = buffer.State;
DWORD type = buffer.Type;
}