OpenProcess

Скопіювати URL-адресу поточної статті Поділитись електронною поштою

Ця стаття (PDF) Повна документація (PDF)

Додано новий атрибут правила, який активується під час відкриття процесу.

HIPS надсилає події OpenProcess тільки для lsass.exe й тільки за наявності в процесу прав доступу PROCESS_VM_WRITE і (або) PROCESS_VM_READ під час виклику OpenProcess або DuplicateHandle (коли процес зі вказаними правами доступу вже відкрито)

Властивість	Тип	Опис	Приклад
AccessRight	Symbol		Можливі значення: •1—PROCESS_TERMINATE •2—PROCESS_CREATE_THREAD •8—PROCESS_VM_OPERATION •16—PROCESS_VM_READ •32—PROCESS_VM_WRITE •64—PROCESS_DUP_HANDLE •128—PROCESS_CREATE_PROCESS •256—PROCESS_SET_QUOTA •512—PROCESS_SET_INFORMATION •1024—PROCESS_QUERY_INFORMATION •2048—PROCESS_SUSPEND_RESUME •4096—PROCESS_QUERY_LIMITED_INFORMATION •65536—DELETE •131072—READ_CONTROL •262144—WRITE_DAC •524288—WRITE_OWNER •1048576—SYNCHRONIZE •2097151—PROCESS_ALL_ACCESS

Властивість

Тип

Опис

Приклад

AccessRight

Symbol

Можливі значення:

•1—PROCESS_TERMINATE

•2—PROCESS_CREATE_THREAD

•8—PROCESS_VM_OPERATION

•16—PROCESS_VM_READ

•32—PROCESS_VM_WRITE

•64—PROCESS_DUP_HANDLE

•128—PROCESS_CREATE_PROCESS

•256—PROCESS_SET_QUOTA

•512—PROCESS_SET_INFORMATION

•1024—PROCESS_QUERY_INFORMATION

•2048—PROCESS_SUSPEND_RESUME

•4096—PROCESS_QUERY_LIMITED_INFORMATION

•65536—DELETE

•131072—READ_CONTROL

•262144—WRITE_DAC

•524288—WRITE_OWNER

•1048576—SYNCHRONIZE

•2097151—PROCESS_ALL_ACCESS

Приклад

</operation>

</operations>

Підтримувані операції

•OpenProcess

˄˅