DACL(Discretionary Access Control List),指出了允许和拒绝某用户或用户组的存取控制列表。 当一个进程需要访问安全对象,系统就会检查DACL来决定进程的访问权。如果一个对象没有DACL,那么就是说这个对象是任何人都可以拥有完全的访问权限。
Windows DACL EnumProject是国外安全研究院发布的一款开源工具,可以枚举进程以及运行的用户的信息,包含以下:
进程对象的DACL。
一个进程的线程和它关联的DACL。
进程加载的模块。
排除输出中非映射的SID。
并且该工具将自动标记任何可以的DACL。
命令行选项如下:
-p 进程权限
-M 模块
-t 线程和权限
-o PID
-x 排除非映射的SIDS告警
简单的使用方法如下:
processperms -px
下载地址:https://github.com/nccgroup/WindowsDACLEnumProject
