5.比较前后访问令牌的SID列表

　　仔细观察前后两个进程(rundll32进程和dllhost进程)访问令牌中的SID列表，如附图所示，会发现有以下两个显著的不同。

　　(1) rundll32进程：Administrators组SID被标记为Deny，这表明该进程实际上不属于管理员组。同时访问令牌里只有五个特权，其中并没有“SeSystemTimePrivilege”特权。

　　访问令牌里包含一个名为“Mandatory Label\Medium Mandatory Level”的标签SID。

　　(2)dllhost进程：Administrators组SID被标记为Owner，这表明该进程属于管理员组。同时访问令牌里包含“SeSystemTimePrivilege”特权。

　　访问令牌里包含一个名为“Mandatory Label\High Mandatory Level” 的标签SID。

　　6.修改系统时区

　　大家知道，在Windows XP下，我们无法在标准用户下修改系统时区。但是在Windows Vista却可以，无需提升权限，不知道读者朋友有没有考虑过这个问题。

　　原来这是因为Windows Vista的标准用户多了一个“SeTimeZonePrivilege”(更改时区)特权，所以无需提升权限，就可以修改系统的时区，这给标准用户带来方便。

　　进一步研究发现，在打开“日期和时间”对话框时，其宿主进程rundll32的访问令牌中，虽然有“SeTimeZonePrivilege”，但是其状态为“Disabled”(如上图所示)。

　　而只有在单击“更改时区”按钮时，rundll32进程的“SeTimeZonePrivilege”特权才会被激活，如附图所示。