RPCSS为什么会有一个类型为token且拥有者为SYSTEM的句柄？

RPCSS是远程过程调用服务的缩写，它用于在网络上处理进程之间的通信。在Windows系统中，RPCSS进程需要访问一些系统资源，例如使用Windows API中的NTLM身份验证，来获取权限等级更高的访问权限。这些资源需要使用一个安全令牌（token）来进行验证。因此，RPCSS进程会有一个类型为token的句柄，并且其拥有者为SYSTEM。

我们可以采用以下代码来获取RPCSS句柄以及其拥有者：

#include <windows.h>
#include <tlhelp32.h>
#include <tchar.h>
#include <psapi.h>

void GetRpcssHandle() {
    // 获取所有进程的快照
    HANDLE hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
    if (hProcessSnap == INVALID_HANDLE_VALUE) {
        return;
    }

    // 遍历进程列表
    PROCESSENTRY32 pe32;
    pe32.dwSize = sizeof(PROCESSENTRY32);
    if (!Process32First(hProcessSnap, &pe32)) {
        CloseHandle(hProcessSnap);
        return;
    }

    DWORD dwRpcssPID = 0;
    HANDLE hToken = NULL;

    do {
        if (_tcsicmp(pe32.szExeFile, TEXT("rpcss.exe")) == 0) {
            dwRpcssPID = pe32.th32ProcessID;
            HANDLE hProcess = OpenProcess(PROCESS_QUERY_INFORMATION, FALSE, dwRpcssPID);
            if (OpenProcessToken(hProcess, TOKEN_ALL_ACCESS, &hToken)) {
                // 获取令牌信息
                TOKEN_USER tokUser;
                DWORD dwBytesReturned = 0;
                GetTokenInformation(hToken, TokenUser, &tokUser, sizeof(TOKEN_USER), &dwBytesReturned);
                LPTSTR lpBuffer = NULL;
                DWORD dwSize = 0;
                ConvertSidToStringSid(tokUser.User.Sid, &lpBuffer);
                _tprintf(TEXT("RPCSS句柄: %p, 拥有者SID: %s\n"), hToken, lpBuffer);
                LocalFree(lpBuffer);
                CloseHandle(hToken);
            }
            CloseHandle(hProcess);
            break;
        }
    } while (Process32Next(hProcessSnap, &pe32));

    CloseHandle(hProcessSnap);
}