Es gibt einen Aufruf von
AdjustTokenPrivileges in der ganzen Binärdatei (habe die 32bit-Version von Vista SP1) und die Funktion welche den Aufruf enthält - welche ich mal spontan SetPrivilegeByName genannt habe - nur viermal aufgerufen. Alle vier Aufrufe bestätigen exakt meine oben gemachte Annahme.
Code:
.text:010079F4 078 push 2 ; int
.text:010079F6 07C push offset Name ; "SeBackupPrivilege"
.text:010079FB 080 push [ebp+lpSystemName] ; lpSystemName
.text:010079FE 084 call SetPrivilegeByName
Code:
.text:01007C75 074 push 2 ; int
.text:01007C77 078 push offset aSerestoreprivilege ; "SeRestorePrivilege"
.text:01007C7C 07C push [ebp+lpSystemName] ; lpSystemName
.text:01007C7F 080 call SetPrivilegeByName
Code:
.text:01007DDE 070 push 2 ; int
.text:01007DE0 074 push offset aSerestoreprivilege ; "SeRestorePrivilege"
.text:01007DE5 078 push [ebp+lpSystemName] ; lpSystemName
.text:01007DE8 07C call SetPrivilegeByName
Code:
.text:01007F37 070 push 2 ; int
.text:01007F39 074 push offset aSerestoreprivilege ; "SeRestorePrivilege"
.text:01007F3E 078 push [ebp+lpSystemName] ; lpSystemName
.text:01007F41 07C call SetPrivilegeByName