为什么 WinDBG 可以在 nt!NtCreateFile 而不是 nt!NtAccessCheck 或 nt!SeAccessCheckByType 上中断？答案

【问题标题】：Why can WinDBG break on nt!NtCreateFile but not nt!NtAccessCheck or nt!SeAccessCheckByType?为什么 WinDBG 可以在 nt!NtCreateFile 而不是 nt!NtAccessCheck 或 nt!SeAccessCheckByType 上中断？
【发布时间】：2021-10-30 22:02:00
【问题描述】：

我正在尝试在访问检查中检查令牌和安全描述符。出于学习目的，我编写了以下可用于测试的程序：

#include <iostream>
#include <windows.h>

int wmain( int argc, wchar_t *argv[], wchar_t *envp[] )
{
    if (argc < 3)
    {
        std::cerr << "Usage: OpenWithAccess <file> <read/write> [ -d ]" << std::endl;
        return ERROR_INVALID_PARAMETER;
    }

    if (argc == 4 && !_wcsicmp(argv[3], L"-d"))
    {
        __debugbreak();
    }

    HANDLE hFile = ::CreateFile(argv[1], !_wcsicmp(argv[2], L"write") ? FILE_ALL_ACCESS : GENERIC_READ, 0, nullptr, OPEN_ALWAYS, FILE_ATTRIBUTE_NORMAL, nullptr);
    if (hFile != INVALID_HANDLE_VALUE)
    {
        std::wcout << L"Successfully opened " << argv[1] << L" with " << argv[2] << L" access" << std::endl;
    }
    else
    {
        std::wcout << L"Failed to open " << argv[1] << L" with " << argv[2] << L" access, error = " << ::GetLastError() << std::endl;
    }
    
    return ERROR_SUCCESS;
}

当我以标准用户身份使用OpenWithAccess.exe c:\Windows\system32\drivers\etc\hosts write -d 运行此程序时，我知道调用通过了 NtAccessCheck（失败并拒绝访问）。

在内核调试器中，我可以像这样在 nt!NtCreateFile 中设置断点：

bp /p <myprocessaddress> nt!NtCreateFile

这很好。然而：

bp /p <myprocessaddress> nt!NtAccessCheck

不会中断。但是，如果我闯入nt!NtCreateFile，然后继续运行t 以跟踪API，我最终会到达nt!NtAccessCheck。那么为什么一个断点有效而另一个断点无效呢？

我应该注意，如果我在没有当前进程的情况下运行它：

bp nt!NtAccessCheck

它确实中断了，但不是在我当前的线程上，即使我知道它运行并且捕获了其他一些访问检查，它也会被跳过。我期望的那个永远不会被抓住。我错过了什么？

【问题讨论】：

如果你这样做bu nt!NtAccessCheck ".if (@$proc != <yourproc>) { gc; }"会发生什么？出于本练习的目的而忽略性能。

标签： windows kernel windbg

【解决方案1】：

尝试在 nt!SeAccessCheck 上设置断点并检查它是否为您提供了足够的信息

我刚刚编译了代码并通过它敲击 nt!SeAccessCheck

0: kd> !process @$proc 3f
PROCESS ffffd10fc1503080
    SessionId: 1  Cid: 17b8    Peb: 55e8cf000  ParentCid: 0bd4
    DirBase: 0ef40002  ObjectTable: ffffaa883bdb1240  HandleCount:  32.
    Image: fufu.exe

点击 bp3

0: kd> bp /p ffffd10fc1503080 nt!NtCreateFile
0: kd> bp /p ffffd10fc1503080 nt!IopCreateFile
0: kd> bp /p ffffd10fc1503080 nt!NtAccessCheck
0: kd> bp /p ffffd10fc1503080 nt!SeAccessCheck
0: kd> g
Breakpoint 0 hit
nt!NtCreateFile:
fffff802`4c8974e0 4881ec88000000  sub     rsp,88h
1: kd> g
Breakpoint 1 hit
nt!IopCreateFile:
fffff802`4c897570 4c894c2420      mov     qword ptr [rsp+20h],r9
1: kd> g
Breakpoint 3 hit
nt!SeAccessCheck:
fffff802`4c3bd730 48895c2410      mov     qword ptr [rsp+10h],rbx
1: kd> kb
 # RetAddr            Call Site
00 fffff802`4c942c28  nt!SeAccessCheck
01 fffff802`4c9417bf  nt!ObpLookupObjectName+0x188
02 fffff802`4c897974  nt!ObOpenObjectByNameEx+0x1df
03 fffff802`4c897559  nt!IopCreateFile+0x404
04 fffff802`4c46d785  nt!NtCreateFile+0x79
05 00007fff`2c6e0114  nt!KiSystemServiceCopyEnd+0x25
06 00007fff`295ee5d6  ntdll!NtCreateFile+0x14
07 00007fff`295ee2c6  KERNELBASE!CreateFileInternal+0x2f6
08 00007ff7`afaa12ed  KERNELBASE!CreateFileW+0x66
09 ffffffff`fffffffe  fufu!wmain+0xed [c:\users\xxx\desktop\fufu\fufu.cpp @ 17] 
0a 00007ff7`00000002  0xffffffff`fffffffe
0b 00007ff7`afb39358  0x00007ff7`00000002
0c 00007ff7`afaa1032  fufu!std::classic_locale$initializer$
0d 00007ff7`00000004  fufu!`dynamic initializer for 'std::numpunct<wchar_t>::id''+0x12 
0e 00000000`00000080  0x00007ff7`00000004
0f 00000000`00000000  0x80
1: kd> dt nt!_SECURITY_DESCRIPTOR @rcx
   +0x000 Revision         : 0x1 ''
   +0x001 Sbz1             : 0 ''
   +0x002 Control          : 0x10
   +0x008 Owner            : 0xffffd10f`bb148fb0 Void
   +0x010 Group            : 0xffffd10f`bb148fb0 Void
   +0x018 Sacl             : 0xffffaa88`36e05c10 _ACL
   +0x020 Dacl             : (null)

【讨论】：

请问这是什么操作系统？我最初试图打破nt!SeAccessCheck，因为这是我所期望的，但它没有奏效。我刚刚在我的 Win10 上拆解了nt!ObpLookupObjectName，它实际上并没有调用SeAccessCheck，而是调用SeAccessCheckWithHint，这似乎是一个未记录的变体。谢天谢地，我可以打破这一点，它似乎有非常相似的参数，确实给了我 SD 和令牌。感谢您试一试，非常有趣的是它在您的系统上有所不同。
它在一个带有 w10 企业评估版的过时虚拟机上，所有这些安全 api 每隔三天甚至可能每天更改一次，如果你的机器说请不要关闭，这意味着一些安全性，这并不奇怪。已实施