`
javatgo
  • 浏览: 1169314 次
  • 性别: Icon_minigender_2
  • 来自: 北京
文章分类
社区版块
存档分类
最新评论

以程序的方式操纵NTFS的文件权限(下)

SecurityWindowsAccess.net 
阅读更多

//
 // STEP 14: 把一个 access-allowed ACE 加入到新的DACL
 // 前面的循环拷贝了所有的非继承且SID为其它用户的ACE,退出循环的第一件事
 // 就是加入我们指定的ACE。请注意首先先动态装载了一个AddAccessAllowedAceEx
 // API函数,如果装载不成功,就调用AddAccessAllowedAce函数。前一个函数仅
 // Windows 2000以后的版本支持,NT则没有,我们为了使用新版本的函数,我们首
 // 先先检查一下当前系统中可不可以装载这个函数,如果可以则就使用。使用动态链接
 // 比使用静态链接的好处是,程序运行时不会因为没有这个API函数而报错。
//
 // Ex版的函数多出了一个参数AceFlag(第三人参数),用这个参数我们可以来设置一
 // 个叫ACE_HEADER的结构,以便让我们所设置的ACE可以被其子目录所继承下去,而
 // AddAccessAllowedAce函数不能定制这个参数,在AddAccessAllowedAce函数
 // 中,其会把ACE_HEADER这个结构设置成非继承的。
 //
 _AddAccessAllowedAceEx = (AddAccessAllowedAceExFnPtr)
 GetProcAddress(GetModuleHandle(TEXT("advapi32.dll")),
 "AddAccessAllowedAceEx");

if (_AddAccessAllowedAceEx) {
if (!_AddAccessAllowedAceEx(pNewACL, ACL_REVISION2,
CONTAINER_INHERIT_ACE | OBJECT_INHERIT_ACE ,
 dwAccessMask, pUserSID)) {
_tprintf(TEXT("AddAccessAllowedAceEx() failed. Error %d\n"),
 GetLastError());
__leave;
 }
 }else{
 if (!AddAccessAllowedAce(pNewACL, ACL_REVISION2,
 dwAccessMask, pUserSID)) {
_tprintf(TEXT("AddAccessAllowedAce() failed. Error %d\n"),
 GetLastError());
__leave;
 }
 }

//
 // STEP 15: 按照已存在的ACE的顺序拷贝从父目录继承而来的ACE
 //
 if (fDaclPresent && AclInfo.AceCount) {

for (;
 CurrentAceIndex < AclInfo.AceCount;
 CurrentAceIndex++) {

//
 // STEP 16: 从文件(目录)的DACL中继续取ACE
 //
 if (!GetAce(pACL, CurrentAceIndex, &pTempAce)) {
 _tprintf(TEXT("GetAce() failed. Error %d\n"),
 GetLastError());
 __leave;
 }

//
 // STEP 17: ACE加入到新的DACL
 //
 if (!AddAce(pNewACL, ACL_REVISION, MAXDWORD, pTempAce,
 ((PACE_HEADER) pTempAce)->AceSize)) {
 _tprintf(TEXT("AddAce() failed. Error %d\n"),
 GetLastError());
 __leave;
 }
 }
 }

//
 // STEP 18: 把新的ACL设置到新的SD
 //
 if (!SetSecurityDescriptorDacl(&newSD, TRUE, pNewACL,
 FALSE)) {
 _tprintf(TEXT("SetSecurityDescriptorDacl() failed. Error %d\n"),
 GetLastError());
 __leave;
}

//
 // STEP 19: 把老的SD中的控制标记再拷贝到新的SD,我们使用的是一个叫
 // SetSecurityDescriptorControl() API函数,这个函数同样只存在于
 // Windows 2000以后的版本中,所以我们还是要动态地把其从advapi32.dll
 // 中载入,如果系统不支持这个函数,那就不拷贝老的SD的控制标记了。
 //
 _SetSecurityDescriptorControl =(SetSecurityDescriptorControlFnPtr)
 GetProcAddress(GetModuleHandle(TEXT("advapi32.dll")),
 "SetSecurityDescriptorControl");
 if (_SetSecurityDescriptorControl) {

SECURITY_DESCRIPTOR_CONTROL controlBitsOfInterest = 0;
 SECURITY_DESCRIPTOR_CONTROL controlBitsToSet = 0;
 SECURITY_DESCRIPTOR_CONTROL oldControlBits = 0;
 DWORD dwRevision = 0;

if (!GetSecurityDescriptorControl(pFileSD, &oldControlBits,
 &dwRevision)) {
 _tprintf(TEXT("GetSecurityDescriptorControl() failed.")
 TEXT("Error %d\n"), GetLastError());
 __leave;
 }

if (oldControlBits & SE_DACL_AUTO_INHERITED) {
 controlBitsOfInterest =
SE_DACL_AUTO_INHERIT_REQ |
 SE_DACL_AUTO_INHERITED ;
 controlBitsToSet = controlBitsOfInterest;
 }
 else if (oldControlBits & SE_DACL_PROTECTED) {
 controlBitsOfInterest = SE_DACL_PROTECTED;
controlBitsToSet = controlBitsOfInterest;
 }

if (controlBitsOfInterest) {
 if (!_SetSecurityDescriptorControl(&newSD,
 controlBitsOfInterest,
 controlBitsToSet)) {
 _tprintf(TEXT("SetSecurityDescriptorControl() failed.")
 TEXT("Error %d\n"), GetLastError());
 __leave;
 }
 }
 }

//
 // STEP 20: 把新的SD设置设置到文件的安全属性中(千山万水啊,终于到了)
 //
 if (!SetFileSecurity(lpszFileName, secInfo,
 &newSD)) {
 _tprintf(TEXT("SetFileSecurity() failed. Error %d\n"),
 GetLastError());
 __leave;
 }

fResult = TRUE;

} __finally {

//
 // STEP 21: 释放已分配的内存,以免Memory Leak
 //
 if (pUserSID) myheapfree(pUserSID);
 if (szDomain) myheapfree(szDomain);
 if (pFileSD) myheapfree(pFileSD);
 if (pNewACL) myheapfree(pNewACL);
 }

return fResult;
}

int _tmain(int argc, TCHAR *argv[]) {

if (argc < 3) {
 _tprintf(TEXT("usage: \"%s\" <FileName> <AccountName>\n"), argv[0]);
 return 1;
 }

// argv[1] – 文件(目录)名
 // argv[2] – 用户(组)名
 // GENERIC_ALL表示所有的权限,其是一系列的NTFS权限的或
// NTFS的文件权限很细,还请参看MSDN
 if (!AddAccessRights(argv[1], argv[2], GENERIC_ALL)) {
 _tprintf(TEXT("AddAccessRights() failed.\n"));
 return 1;
 }
 else {
 _tprintf(TEXT("AddAccessRights() succeeded.\n"));
 return 0;
 }
}




三、 一些相关的API函数

通过以上的示例,相信你已知道如何操作NTFS文件安全属性了,还有一些API函数需要介绍一下。

1、 如果你要加入一个Access-Denied ACE,你可以使用AddAccessDeniedAce函数

2、 如果你要删除一个ACE,你可以使用DeleteAce函数

3、 如果你要检查你所设置的ACL是否合法,你可以使用IsValidAcl函数,同样,对于SD的合法也有一个叫IsValidSecurityDescriptor的函数

4、 MakeAbsoluteSDMakeSelfRelativeSD两个函数可以在两种SD的格式中进行转换。

5、 使用SetSecurityDescriptorDacl SetSecurityDescriptorSacl可以方便地把ACL设置到SD中。

6、 使用GetSecurityDescriptorDacl or GetSecurityDescriptorSacl可以方便地取得SD中的ACL结构。

我们把一干和SD/ACL/ACE相关的API函数叫作Low-Level Security Descriptor Functions,其详细信息还请参看MSDN

我的MSNhaoel@hotmail.com,专栏在http://www.csdn.net/develop/author/netauthor/haoel/欢迎大家和我交流。

<-上一页

(版权所有,转载时请注明出处和作者信息)

分享到:
| C/C++内存问题检查利器—Purify (五)
评论
发表评论

您还没有登录,请您登录后再发表评论

相关推荐

    以程序的方式操纵NTFS的文件权限

    ### 以程序的方式操纵NTFS的文件权限 #### 一、理论基础与术语解析 在深入探讨如何通过编程方式操作NTFS文件权限之前,我们首先需要理解几个关键概念。 ##### 安全描述符 (Security Descriptors) 在Windows NT/...

    NTFS文件权限设置软件 V2.0

    软件功能:通过设置NTFS文件权限达到禁止或恢复使用某文件(夹)的目的。可以用来防止文件误删误改等操作,同时也可用来防止一些未经自己允许的后台程序悄悄运行。 XP系统测试的,其他系统不知道。 做这个软件主要...

    NTFS文件系统扇区存储探秘_扫描完整版

    介绍作者为了探索NTFS文件系统的存储特点编写的21个WIN32工具程序;使用作者编写的WIN32工具程序,探秘NTFS文件系统的扇区存储规律。  全书分3篇,共计17章。第1章至第3章是“基础篇”,重点介绍了NTFS文件系统的...

    实验七 NTFS文件系统权限实验.doc

    NTFS 文件系统权限管理可以通过以下方式实现: 1. 权限继承:NTFS 文件系统权限可以继承自父文件夹的权限。 2. 权限赋予:可以对文件和文件夹进行权限赋予,例如读取、写入、执行等权限。 3. 权限撤销:可以对文件...

    NTFS 文件系统及NTFS权限应用原则

    2. **文件权限优于文件夹权限**:如果用户对文件的权限高于文件所在的文件夹,那么以文件权限为准。 3. **拒绝权限优先**:如果明确拒绝了某个用户访问,即使其他权限允许,用户也无法访问。 NTFS权限还支持**继承*...

    Windows下NTFS权限设置详解

    Windows 下 NTFS 权限设置详解 NTFS 权限设置是 Windows 操作系统中的一项重要功能,它允许用户和管理员控制对文件和文件夹的访问权限。本文将详细介绍 NTFS 权限设置的概念、原理和实现方法。 什么是 NTFS 权限...

    Linux下挂载使用NTFS文件系统

    1. **权限问题**:由于Linux和Windows对文件权限的处理方式不同,可能需要调整权限设置,以确保Linux用户能够正确读写NTFS分区上的文件。 2. **性能优化**:挂载选项如`noatime`和`nodiratime`可以提高读取性能,但...

    如何不丢失文件NTFS权限地拷贝文件

    ### 如何不丢失文件NTFS权限地拷贝文件 在Windows操作系统中,NTFS(New Technology File System)是一种被广泛使用的文件系统格式。它不仅提供了高级功能如文件压缩、加密等,还支持权限管理,这对于保护文件的...

    NTFS文件系统研究

    NTFS文件系统可以通过基本分区和动态分区两种方式进行创建。基本分区是最常见的分区类型,而动态分区则提供了更多的灵活性,如扩展卷、跨区卷等。 #### NTFS参数结构介绍 - **DBR(DOS Boot Record)**:这是NTFS...

    NTFS文件系统若干技术研究

    NTFS 文件系统广泛应用于 Windows 操作系统中,主要用于存储操作系统文件和应用程序文件。同时,NTFS 文件系统也应用于其他领域,如数据存储、数据保护和云存储等。 NTFS 文件系统技术研究是计算机技术中一个重要的...

    NTFS文件系统参考书籍(全部中文版本)

    - 压缩和稀疏文件:NTFS支持文件压缩,以节省磁盘空间,并可处理稀疏文件(大部分为零值的数据)。 - 空间回收:通过删除不再使用的文件和清理临时文件,可以优化磁盘空间。 这些书籍和文档将帮助读者全面掌握...

    用Winhex手工定位NTFS文件系统下的文件.rar

    NTFS(New Technology File System)是微软Windows操作系统广泛使用的高级文件系统,它提供了许多FAT文件系统所不具备的功能,如文件权限管理、事务日志、磁盘配额等。然而,当文件被删除或丢失时,NTFS文件系统中并...

    ntfs文件系统源码包

    3. **安全特性**:NTFS支持权限控制列表(ACLs),可以为每个文件和目录设置不同的访问权限。源码揭示了如何在非Windows环境中实现这些安全机制。 4. **事务处理**:NTFS支持事务,即使在系统崩溃或异常情况下,也...

    NTFS文件系统详解

    相比于传统的FAT文件系统,NTFS提供了更多的功能和更好的安全性支持,如权限管理、文件压缩、加密等特性。 #### 三、NTFS属性详解 NTFS中的文件和目录是由一系列的属性组成的,这些属性包括标准信息、文件名、对象...

    ntfs文件系统的备份

    4. **文件权限和安全描述符**:NTFS支持ACL(Access Control List),备份程序应保存文件和目录的权限信息,以便在恢复时能正确还原。 5. **卷和分区信息**:除了文件和目录,备份还应包括卷标、卷序列号、引导扇区...

    NTFS文件系统若干技术

    1. **高级安全性**: NTFS提供了强大的权限管理功能,能够确保文件的安全性和隐私。 2. **稳定性**: 支持日志记录和事务处理机制,可以自动恢复文件系统的损坏部分。 3. **压缩和加密**: 内置了压缩功能和EFS...

    NTFS文件结构

    7. **文件权限和安全**:NTFS支持细粒度的权限控制,每个文件和目录都可以设置用户或用户组的访问权限。此外,NTFS还支持文件加密(EFS,Encrypting File System),保证数据的安全性。 8. **硬链接和符号链接**:...

    NTFS文件系统分析

    其次,NTFS支持安全特性,如权限控制和文件加密。通过ACL(Access Control List),用户可以为文件和目录设置特定的访问权限,限制不同用户对资源的访问。EFS(Encrypting File System)则是NTFS中的一个内置功能,...

Magicbox
Global site tag (gtag.js) - Google Analytics