日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

了解Windows Vista內(nèi)核的安全性( 五 )

云知道


Windows 還檢查相關(guān)的證書鏈,一直檢查到 Windows 啟動(dòng)加載器和操作系統(tǒng)內(nèi)核中嵌入的根頒發(fā)機(jī)構(gòu)之一 。嘗試加載未簽名的 64 位驅(qū)動(dòng)程序不應(yīng)該發(fā)生在生產(chǎn)系統(tǒng),因此不同于“即插即用管理器(它在指向加載沒(méi)有確認(rèn)是否通過(guò) WQHL 測(cè)試簽名的驅(qū)動(dòng)程序時(shí)顯示警告對(duì)話框),64 位 Windows Vista 在阻止加載未簽名驅(qū)動(dòng)程序時(shí),在無(wú)提示的情況下隨時(shí)將事件寫入代碼完整性應(yīng)用程序事件日志,如圖 5 所示 。32 位 Windows Vista 也檢查驅(qū)動(dòng)程序簽名,但允許加載未簽名的驅(qū)動(dòng)程序 。阻止它們將會(huì)破壞升級(jí)的 Windows XP 系統(tǒng)(要求在 Windows XP 上加載驅(qū)動(dòng)程序,并且還允許支持僅存在 Windows XP 驅(qū)動(dòng)程序的硬件) 。不過(guò),32 位 Windows Vista 還會(huì)在加載未簽名驅(qū)動(dòng)程序時(shí)將事件寫入代碼完整性事件日志 。
因?yàn)榇a簽名通常用來(lái)將代碼標(biāo)記為經(jīng)過(guò)嚴(yán)格測(cè)試的官方發(fā)行版本,所以發(fā)布者通常并不想對(duì)測(cè)試代碼簽名 。因此,Windows Vista 包括可以使用 Bcdedit 工具(在 TechNet 雜志 2007 年 3 月份我的文章中介紹過(guò))啟用和禁用的測(cè)試簽名模式,它將加載使用由內(nèi)部證書頒發(fā)機(jī)構(gòu)生成的測(cè)試證書經(jīng)過(guò)數(shù)字簽名的內(nèi)核模式驅(qū)動(dòng)程序 。此模式設(shè)計(jì)為供程序員在開(kāi)發(fā)其代碼時(shí)使用 。當(dāng) Windows 處于此模式時(shí),它會(huì)在桌面上顯示標(biāo)記,如圖中所示 。
6.受保護(hù)的進(jìn)程
下一代多媒體內(nèi)容,如 HD-DVD、BluRay 和高級(jí)訪問(wèn)內(nèi)容系統(tǒng) (AACS) 下許可的其他格式,在以后幾年內(nèi)會(huì)變得更加常見(jiàn) 。Windows Vista 包括許多技術(shù),統(tǒng)稱為受保護(hù)的媒體路徑 (PMP),AACS 標(biāo)準(zhǔn)要求在播放此類內(nèi)容時(shí)使用這些技術(shù) 。PMP 包括受保護(hù)的用戶模式音頻 (PUMA) 和受保護(hù)的視頻路徑 (PVP),它們一直為音頻和視頻驅(qū)動(dòng)程序及媒體播放機(jī)應(yīng)用程序提供機(jī)制,以防止未授權(quán)軟件或硬件捕獲高清晰度格式的內(nèi)容 。
PUMA 和 PVP 定義特定于音頻和視頻播放機(jī)、設(shè)備驅(qū)動(dòng)程序和硬件的接口和支持,但是 PMP 也依賴在 Windows Vista 中引入的一般內(nèi)核機(jī)制,即稱為受保護(hù)的進(jìn)程 。受保護(hù)的進(jìn)程以標(biāo)準(zhǔn)的 Windows 進(jìn)程構(gòu)造為基礎(chǔ),該構(gòu)造封裝了運(yùn)行的可執(zhí)行映像、其 DLL、安全上下文(進(jìn)程運(yùn)行所在的帳戶及其安全權(quán)限),及在進(jìn)程內(nèi)執(zhí)行代碼但阻止某些訪問(wèn)類型的線程 。
標(biāo)準(zhǔn)進(jìn)程實(shí)施訪問(wèn)控制模式,允許使用“調(diào)試程序權(quán)限完全訪問(wèn)進(jìn)程所有者和管理帳戶 。完全訪問(wèn)允許用戶查看和修改進(jìn)程的地址空間,包括映射到進(jìn)程的代碼和數(shù)據(jù) 。用戶也可以將線程注入進(jìn)程 。這些訪問(wèn)類型與 PMP 的要求不一致,因?yàn)樗鼈冊(cè)试S未授權(quán)代碼獲取存儲(chǔ)在播放內(nèi)容的進(jìn)程中的高清晰度內(nèi)容和數(shù)字版權(quán)管理 (DRM) 密鑰的訪問(wèn)權(quán)限 。
受保護(hù)的進(jìn)程限制訪問(wèn)一組受限的信息和進(jìn)程管理界面,包括查詢進(jìn)程的映像名和終止或掛起進(jìn)程 。但是,內(nèi)核通過(guò)一般的進(jìn)程查詢功能(返回有關(guān)系統(tǒng)上所有進(jìn)程的數(shù)據(jù))為受保護(hù)的進(jìn)程提供診斷信息,因此不要求直接訪問(wèn)進(jìn)程 。訪問(wèn)可能會(huì)損壞只允許通過(guò)其他受保護(hù)的進(jìn)程訪問(wèn)的媒體 。
此外,為避免從內(nèi)部受到危害,加載到受保護(hù)進(jìn)程的所有可執(zhí)行代碼(包括其可執(zhí)行映像和 DLL)必須由 Microsoft (WHQL) 使用受保護(hù)的環(huán)境 (PE) 標(biāo)記簽名,或者(如果是音頻編解碼器)由開(kāi)發(fā)人員使用從 Microsoft 獲得的 DRM 簽名證書簽名 。因?yàn)閮?nèi)核模式代碼可以獲取任何進(jìn)程的完全訪問(wèn)權(quán)限(包括受保護(hù)的進(jìn)程),并且 32 位 Windows 允許加載未簽名的內(nèi)核模式代碼,所以內(nèi)核可為受保護(hù)的進(jìn)程提供 API,以查詢內(nèi)核模式環(huán)境的“清潔度,并僅在沒(méi)有加載未簽名代碼時(shí)使用結(jié)果解除對(duì)高級(jí)內(nèi)容的鎖定 。
沒(méi)有特定識(shí)別受保護(hù)進(jìn)程的 API,但是您可以間接地根據(jù)有關(guān)它們的受限信息以及甚至無(wú)法從管理帳戶進(jìn)行調(diào)試來(lái)識(shí)別它們 。音頻設(shè)備圖形隔離進(jìn)程 (%Systemroot%System32Audiodg.exe) 用于播放使用內(nèi)容加密系統(tǒng) (CSS) 編碼的 DVD,并在“任務(wù)管理器窗格中標(biāo)識(shí)為受保護(hù)的進(jìn)程 。事實(shí)上,即使使用管理權(quán)限運(yùn)行,任務(wù)管理器也無(wú)法獲得其命令行、虛擬化和數(shù)據(jù)執(zhí)行保護(hù)狀態(tài) 。

推薦閱讀