> Процесс - объект. У объекта есть DACL. В DACL есть access > mask'и для SID'ов. В том числе для текущего пользователя - > разрешено все. У висты на это дело дополнительно Вообще то я думал, что как раз запрещено все. А хэндл на дочерний можно получить как раз при создании.
> накладывается проверка IL. Отношение parent-child тут > вообще не причем На самом деле не все так просто. Там ведь еще есть SecurityProcedure, которая дергается из того же ObGetObjectSecurity, если она есть у типа. Но с процессами - не тот случай, да и не это я имел в виду. Вот не помню когда я сталкивался с этим, но было такое, что я без SeDebugPrivilege не мог открыть ни один процесс, ну то есть не могу даже придебажиться к процессам, которые сам же и запустил. Почему то я решил, что это дефолтное поведение (ибо под рестриктед юзером больше толком и не работал, а у администратора всегда есть DebugPrivilege) - так оно в памяти и отложилось. Сейчас специально создал юзера в группе Users и проверил - действительно свой explorer.exe открывает запросто.
|