首先先介紹下windows 系統的令牌。

windows系統的令牌是指："一個包含進程或者線程上下文環境的對象"。簡單的說就是記錄著一個進程被賦予的權限。

這里就有一個問題，windows開發者出于好意，會給一個安全產品內嵌一個系統托盤的程序，并且將seLoadDriver權限賦予了系統托盤程序。而這會讓沒有相應權限的用戶，控制以驅動形式存在的windows系統服務。（方法是通過向系統托盤程序中插入代碼）。

所有首先第一步，查詢token中的權限，看看哪些進程含有seLoadDriver權限。

1.獲取目標進程句柄

2.獲取目標進程token

3.解析已經啟用權限列表

4.迭代每個權限，并檢查是否啟用（i[1]==3表示啟用，i[0]存儲著相印的名字）

代碼如下（基于之前編輯的進程監視器）：

            import os
import wmi
import win32api
import win32con
import win32security
def get_privileges(pid):
    try:
        hd = win32api.OpenProcess(win32con.PROCESS_QUERY_INFORMATION,False,pid)

        htok = win32security.OpenProcessToken(hd,win32con.TOKEN_QUERY)

        privs = win32security.GetTokenInformation(htok,win32security.TokenPrivileges)

        priv_list=""

        for i in privs:
            if i[1]==3:
                priv_list+="%s|"%win32security.LookupPrivilegeName(None,i[0])
    except:
        priv_list="N/A"
    return priv_list


def log_message(message):
    f=open("message.csv","ab")
    f.write("%s\r\n"%message)
    f.close()

log_message("Time,User,Executable,CommandLine,PID,Parent PID,Privileges")

c=wmi.WMI()
process_monitor=c.Win32_Process.watch_for("creation")

while True:
    try:
        new_process=process_monitor()

        proc_owner=new_process.GetOwner()

        proc_owner="%s\\%s"%(proc_owner[0],proc_owner[2])

        create_data=new_process.CreationDate

        executable=new_process.ExecutablePath

        cmdline = new_process.CommandLine

        pid = new_process.ProcessId

        parent_pid = new_process.ParentProcessId

        privileges = get_privileges(pid)

        process_log_message="%s,%s,%s,%s,%s,%s,%s\r\n"%(create_data,proc_owner,executable,cmdline,pid,parent_pid,privileges)

        print process_log_message

        log_message(process_log_message)
    except:
        pass
          

?