доламываю одно приложение, но есть непонятка с определенным его функционалом
который впринципе к защите как таковой и не относится, но проверить это никак не могу

в двух словах

есть приложение назовем его proga.exe которая общается с драйвером proga.sys
и есть вспомагательное приложение privilege.exe которая запускает эта прога.exe,
и privilege.exe тоже общается с драйвером

разница в етих proga.exe и privilege.exe в общении с драйвером
privilege.exe делает AdjustTokenPrivileges на нужный SeXXXX

драйвер же в свою очередь должен различать эти обращения по средсвом SeSinglePrivilegeCheck

и в драйвере есть такой код



проблема в том что все обращения proga.exe попадают в условя обращений privilege.exe
и из-за этого, некоторый функционал работает не корректно

| Сообщение посчитали полезным:

А почему обязательно функция некорректно работает? Может просто в Irp->RequestorMode всегда KernelMode...

| Сообщение посчитали полезным:

там UserMode, я отладчиком смотрел для обеих случаев обращения

add:
проверил на другом пк где стоит Vista, там все правильно отрабатывает
вопрос тогда такой, это проблема WIN XP SP2 в целом или только локально у меня в винде что то сломано..

| Сообщение посчитали полезным:

reversecode
Берем ProcessHacker и смотрим какие привилегии включены в токенах ваших процессов.

-----
PGP key <0x1B6A24550F33E44A>

| Сообщение посчитали полезным:

токен включен. причем самое загадочное что этот токен включен и на других (у знакомых) версиях WIN XP SP2(проверял).

выводы такие
1. глюк винды, и возможно лечится обновлением до SP3 (устанавливать исключительно для проверки не буду)
2. разработчики софта, не корректно выбрали SeXXXX для проверки, потому что только он(из тех токенов что разумней было бы использовать) по умолчанию включен, остальные SeYYYY токены выключены.

| Сообщение посчитали полезным: