一直就在纳闷，为什么Windbg不能转储完整的WinSta0窗口站的安全描述符?为什么会少了登录SID和登录帐户的对应ACE?

　　盆盆很快发现，原来是我自己搞错了。为了方便，我用远程桌面连接到另外一台实验用Windows Vista机器，这时候由于是远程桌面登录的，拿到的是会话2。但是我在Windbg里检查的却是Sessions1WindowsWindowStationWinSta0。

　　也就是说，盆盆实际上是检查的会话1里的WinSta0窗口站，而不是远程桌面里的WinSta0窗口站(会话2)!!

　　难怪检查出来的结果，发现WinSta0窗口站里居然没有登录SID和Admin的对应ACE!!

　　1. 完整的WinSta0安全描述符

　　为了验证这个结果，盆盆重新做实验，这次直接控制台登录(会话1)，再查看WinSta0的安全描述符，果然发现完整了，有附图为证!

　　图中棕色加粗的部分，就是登录会话SID和登录帐户Admin所拥有的ACE，这里可以看到登录会话SID拥有所有可能的权限，而Admin则几乎没有任何访问权限。

标签：