windows - 受保护的共享内存

Question

我正在寻找一种在 Windows 平台上创建共享内存块的可能性，该共享内存块对除创建共享内存块的进程之外的所有进程都具有写保护。

详细我需要以下内容：

进程 (1) 必须创建一个共享内存块并且应该能够修改缓冲区。 进程（2）应该能够打开和读取创建的共享内存块，但不能有修改内容的权限。由于安全/安全原因，这很重要。

目前我有一个解决方案，使用 CreateFileMapping() 和 MapViewOfFile() 创建共享内存块，然后在进程 (1) 和 (2) 中具有读写权限，例如：

HANDLE handle = CreateFileMapping(INVALID_HANDLE_VALUE, NULL, PAGE_READWRITE, highSize, lowSize, L"uniquename");
void* sharedMemory = MapViewOfFile(handle, FILE_MAP_ALL_ACCESS, 0, 0, 0);
// now we can modify sharedMemory...

这两行代码可以在两个进程中应用，因为第一个进程创建共享内存块，第二个进程只是打开共享内存。 但是，由于在创建内存块期间提供的访问值（PAGE_READWRITE 和 FILE_MAP_ALL_ACCESS），显然第二个进程将具有写权限。

我需要使用访问值 PAGE_READONLY 和 FILE_MAP_READ 在进程 (1) 中创建共享内存块，但显然我不允许在进程 (1) 中初始化/设置/修改内存块，这比无用的内存缓冲区。

据我所知，安全属性的定义不能解决问题，因为我的问题不依赖于用户或组。

我什至会对这样的解决方案感到满意)。

Answer 1

CreateFileMapping 函数允许您为文件映射对象设置 ACL。如果您创建的 ACL 只允许只读访问，其他进程应该无法打开具有读写访问权限的文件映射对象。

通常，在创建对象时，您分配的权限不适用于您在创建期间获得的句柄。但是，我还没有特别用CreateFileMapping 对此进行过测试。

这只提供了较弱的保护。恶意进程可能会更改文件映射对象的权限，或将代码注入到创建对象的进程中。

Answer 2

您没有解释为什么不能在每种情况下提供不同的参数，所以我假设您在打开文件之前不知道哪个进程是创建者。在这种情况下，您可能想尝试：

HANDLE h = OpenFileMapping(FILE_MAP_READ, /*args*/);
if (h) {
    v = MapViewOfFile(h, FILE_MAP_READ, 0, 0, 0);
} else {
    h = CreateFileMapping(INVALID_HANDLE_VALUE, NULL, PAGE_READWRITE, highSize, lowSize, L"uniquename");
    if (!h)
        FirePhotonTorpedoes();
    v = MapViewOfFile(handle, FILE_MAP_ALL_ACCESS, 0, 0, 0);
}

Answer 3

您是否相信进程#2 使用FILE_MAP_READ？这将防止意外覆盖，例如破坏共享内存的野指针。

如果您尝试防止恶意覆盖，则需要使用操作系统提供的安全主体，并在具有较少凭据的不同会话中运行进程 #2。如果进程#2 在与进程#1 相同的安全凭证下运行，那么它可以执行进程#1 可以执行的任何操作（例如，通过将代码注入进程#1）。

（在 Windows 上，用户是安全主体，而进程不是。用户不是唯一的限制级别，例如，Vista 和更高版本中的用户访问控制会创建与具有和不具有管理员组成员身份的管理用户相对应的令牌）

既然您说进程#1 不需要继续写入访问，那么只需一次，您可以创建映射，将其映射为写入，然后使用SetSecurityInfo 调整 ACL，以便以后的访问无法写入。

另一种可能性是映射一个磁盘文件，并使用第一个进程的FILE_SHARE_READ（但不是FILE_SHARE_WRITE）访问权限打开它。

但是这些都不能阻止进程#2 强制进程#1 代表它进行更改。只有使用单独的令牌才能防止强制。