Используя инструмент Process Explorer, мы можем видеть привилегии, которыми обладает запущенный процесс. Работающий процесс может удалить привилегии, и, следовательно, эффективные привилегии, удерживаемые процессом, будут меньше, чем то, что разрешено пользователю / группе.
Если мы откроем процесс в ProcExp и выберем вкладку «Безопасность», мы увидим все привилегии, которыми в данный момент владеет процесс, и статус каждой привилегии:
Если мы выберем любой другой процесс (Сервис), работающий под учетной записью SYSTEM, у него не будет всех привилегий (например, SeTcbPrivilege) - сам процесс мог удалить процесс (используя AdjustTokenPrivilege с флагом SE_PRIVILEGE_REMOVED ).
Какая команда может перечислить привилегии, которыми обладает запущенный процесс?