查看csrss.exe的访问控制列表
以csrss.exe进程为例。在Process Explorer中双击该csrss.exe进程,在打开的属性对话框里切换到“Security”标签页。然后单击其右下角的“Permission”按钮,即可查看csrss.exe进程的访问权限设置。可以看到该进程只允许Local System帐户访问。单击打开对话框上的“高级”按钮,还可以查看Local System帐户具有的详细权限,(如图3)所示。
图3
这样就可以解释为什么无法查看csrss.exe进程信息,原来只有Local System帐户才有权限访问csrss.exe进程,而系统进程的访问令牌里并不包含Local System帐户。
查看svchost.exe的访问控制列表
接下来查看三个详细信息不可用的svchost.exe进程的访问控制列表。
在“系统信息”窗口里记下这三个svchost.exe进程的PID,然后在Process Explorer窗口里打开该进程的属性对话框,查看其安全权限,(如图4)所示。
图4
和csrss.exe进程相比,除了Local System帐户外,svchost.exe进程的访问控制列表中还包含了一个未知SID(本例是S-1-5-5-0-35860),实际上这是该svchost进程的Logon SID,也就是该svchost进程所在登录会话的SID。也就是说,只要是在同一个登录会话里运行的进程,就可以访问该svchost.exe进程的信息。
和图2作比较,会发现“系统信息”进程的Logon SID是S-1-5-5-0-40881,和svchost.exe进程的Logon SID不同,所以“系统信息”无法访问这些svchost.exe进程的详细信息。
用同样的方法,可以找到alg和wdfmgr.exe的进程信息不可用的原因。
用subinacl.exe命令行工具查看进程的访问控制列表
我们还可以利用subinacl.exe命令行工具,查看进程的访问控制列表,这里以csrss.exe进程为例。打开命令提示符窗口,运行以下命令:
subinacl /process csrss.exe /display=dacl
命令的部分结果类似如下显示:
=========================
+Process csrss.exe - 940
=========================
/perm. ace count =1
/pace =system ACCESS_ALLOWED_ACE_TYPE-0x0 AccessMask=0x20c79
命令结果表明csrss.exe进程仅允许SYSTEM帐户访问,所以“系统信息”组件无法获得该进程的详细信息。
更多内容请看Windows操作系统安装、系统优化大全、系统安全设置专题,或进入讨论组讨论。
相关专题
- Windows操作系统安装 (15328篇文章)
- 系统优化大全 (17807篇文章)
- 系统安全设置 (23149篇文章)
- 系统安装手册 (20515篇文章)
- 系统备份专题 (17269篇文章)
- Windows权限设置 (10008篇文章)
- Windows系统进程专题 (92篇文章)
- 系统维护手册 (16659篇文章)
- Windows操作系统安全集 (18287篇文章)
- Windows频道 (9589篇文章)
- 进程管理知识库 - ctfmon.exe - ctfmon (25275次浏览)
- 进程管理知识库 - winlogon.exe - winlogo (22836次浏览)
- 进程管理知识库 - pchealth.exe - pchealt (12432次浏览)
- 进程管理知识库 - msiexec.exe - msiexec (12141次浏览)
- 进程管理知识库 - ibmpmsvc.exe - ibmpmsvc (601次浏览)
- 进程管理知识库 - inetinfo.exe - inetinfo (594次浏览)
- 进程管理知识库 - update.exe - update (554次浏览)
- 进程管理知识库 - java.exe - java (537次浏览)
- rav - rav.exe - 进程信息 (532次浏览)
- 进程管理知识库 - tabuserw.exe - tabuserw (516次浏览)
