微软对于DACLs 和 ACEs描述

Windows 访问控制机制：

每个 Windows 内核对象（例如文件、进程、线程等）都有一个安全描述符（Security Descriptor）。

安全描述符包含了自主访问控制列表（DACL）以及其他安全信息。

DACL 是一系列访问控制条目（ACE）的列表，每个 ACE 定义了特定的用户或组对该对象的操作权限。

DACL 和 ACE 的工作原理：

DACL: DACL 就像一个对象的“访问权限清单”，它决定了谁可以对这个对象执行哪些操作。

ACE: 每个 ACE 都是 DACL 中的一个条目，它包含以下信息：

受托人 (Trustee): 可以是用户、组或特殊账户（例如“Everyone”、“SYSTEM”）。

访问权限 (Access Mask): 指定允许或拒绝的操作类型（例如读取、写入、执行、删除、查询信息等）。

ACE 类型 (Type): 可以是允许访问（Allow ACE）或拒绝访问（Deny ACE）。

访问控制过程：

当一个进程尝试访问一个对象时，Windows 会检查对象的安全描述符。

系统会提取 DACL 并遍历其中的 ACE，检查 ACE 的受托人是否与请求进程的访问令牌匹配。

如果找到匹配的 允许 ACE，并且允许了请求的全部权限，则授予访问权限，并停止检查。

如果找到匹配的 拒绝 ACE，则拒绝访问权限，并停止检查。

如果检查完所有 ACE 都找不到匹配的允许 ACE，则拒绝访问。

拒绝 ACE 优先: 如果既有允许 ACE 也有拒绝 ACE，则拒绝 ACE 优先。

ACE 顺序重要： ACE 在 DACL 中的顺序很重要，因为系统是按照顺序检查 ACE，直到授予或拒绝访问。

如何阻止其他进程打开句柄：

要阻止其他进程打开你的进程句柄，你需要修改你进程的安全描述符中的 DACL，添加一个拒绝访问的 ACE。

这个 ACE 需要满足以下条件：

受托人: 你需要决定拒绝哪个用户或组的访问，通常拒绝当前用户本身或者所有用户的访问。

访问权限： 你需要拒绝所有进程访问权限 (PROCESS_ALL_ACCESS)。

使用 SetSecurityInfo 设置 DACL：

SetSecurityInfo 函数允许你修改内核对象的安全描述符，包括 DACL。

当使用 SetSecurityInfo 设置 DACL_SECURITY_INFORMATION 时，它会用你提供的新的 DACL 替换 原有的 DACL。
也是正因为如此,原有的全部被替换,所以仅仅剩下一个拒绝的.

最后附上代码:
被替换DACL的进程(保护进程)

进行OpenProcess的进程(攻击进程):

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课