令牌模拟/盗用

对手可能会复制然后模拟其他用户的现有令牌以提升权限并绕过访问控制。例如，对手可以使用 DuplicateToken 或 DuplicateTokenEx 复制现有令牌。(引用: DuplicateToken function) 然后可以使用 ImpersonateLoggedOnUser 允许调用线程模拟已登录用户的安全上下文，或使用 SetThreadToken 将模拟的令牌分配给线程。 当对手有特定的现有进程要分配复制的令牌时，可能会执行令牌模拟/盗用。例如，当目标用户在系统上有非网络登录会话时，这可能很有用。 当对手使用复制的令牌创建新进程而不是附加到现有进程时，他们还可以使用 CreateProcessWithTokenW 或 CreateProcessAsUserW 使用令牌创建进程。令牌模拟/盗用 也与创建和模拟令牌不同，因为它指的是复制现有令牌，而不是创建新令牌。