Маркер доступа Windows
Одной из основ защиты в Windows является то, что процесс Windows работает от имени отдельной учетной записи, или пользовательской, или системной, и наследует привилегии и полномочия этой учетной записи. Но как операционной системе отследить привилегии и полномочия, связанные с процессом? Она это делает с помощью объекта ядра (kernel object), который называется маркер (token), или маркер доступа (access token).
Маркер - это объект, который содержит информацию о профиле защиты отдельной учетной записи, включающей SID-идентификатор пользователя, SID-идентификаторы групп, в которые входит данный пользователь и другую информацию, связанную с защитой. Когда пользователь начинает сеанс работы с Windows, создается уникальный сеанс входа (logon session), идентифицирующий этого пользователя, и создается маркер, который ссылается на данный сеанс входа. Созданный маркер представляет собой контекст защиты, или « защитную» информацию (security information), учетной записи, которая только что вошла в систему.
Работа с Tokenmon
Tokenmon — программа с графическим интерфейсом, которая позволяет наблюдать в реальном времени за действиями с маркерами доступа на компьютере. Она позволяет анализировать SID-идентификатор пользователя, SID-идентификаторы групп, в которые входит данный пользователь и другую информацию, связанную с защитой. Когда пользователь начинает сеанс работы с Windows, создается уникальный сеанс входа (logon session), идентифицирующий этого пользователя, и создается маркер, который ссылается на данный
Tokenmon требует, чтобы учетная запись, ассоциированная с работой этой программы, имела права администратора из-за ловушек (hooks) защиты, которые эта программа использует в своей работе.
Экран Tokenmon разбит на три части, состоящих из строки меню (menu bar), инструментальной панели (toolbar) и окна с представлением данных в виде списка (listview). Строка меню содержит пункты для настройки выходных данных программы. Инструментальная панель предлагает быстрый доступ к выполняемым действиям, а в окне со списком выводятся результаты работы программы. После запуска программы, по умолчанию, она начинает автоматически перехватывать все действия с маркерами.