日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

評(píng)估Vista內(nèi)核模式的安全性

云知道

DOC版本下載:
http://www.cisrg.cn/doc/Vista-Release.rar

Assessment of Windows Vista Kernel-Mode Security
評(píng)估Vista內(nèi)核模式的安全性
Matthew Conover, Principal Security Researcher, Symantec Corporation
翻譯:7all(www.cisrg.cn)

概要―Windows Vista introduces several additional barriers that aim to prevent malicious code from gaining access to the operating system kernel. This paper is intended to provide a technical review of their implementation. The kernel mode security enhancements in Windows Vista are quite substantial, resulting in a dramatic reduction of its overall attack surface. However, we have identified certain weaknesses in the kernel enhancements that may be leveraged by malicious code to undermine these improvements.

I INTRODUCTION
Windows Vista與之前的MS Windows版本(包括Windows XP SP2)相比增加了很多的安全性 。Vista新安全性的特征可以包括以下幾個(gè)方面:
驅(qū)動(dòng)簽名[1]
PatchGuard [2]
內(nèi)核模式代碼完整性檢查[3]
可選擇支持使用TPM芯片的安全啟動(dòng)[4]
限制用戶模式訪問/Device/PhysicalMemory[5]
上述的這些功能使得Vista64位版本與Linux或MacOS相比更具備安全性 。該文檔的主要貢獻(xiàn)在:(1)通過擬向工程較全面的分析內(nèi)核模式的安全組件(2)評(píng)估可能存在的內(nèi)核模式攻擊 。
A、;;;;What’s Covered
該文檔檢查新的安全特性,通過這些安全特性來阻止惡意代碼危及內(nèi)核 。由于這些特性都僅存在于64位的Windows Vista系統(tǒng)內(nèi),因此該文檔的關(guān)注點(diǎn)在Vista64位版本 。
B、;;;;What’s Not Covered
該文檔沒有分析PatchGuard的執(zhí)行,針對(duì)PatchGuard的分析在前期已經(jīng)有Skape和Skywing[6]進(jìn)行了較全面的分析,值得注意的是PatchGuard發(fā)展到目前已經(jīng)有所改變(在skape與skywing分析完后) 。僅當(dāng)下面章節(jié)對(duì)PatchGuard進(jìn)行攻擊評(píng)估時(shí)才會(huì)討論這些問題 。針對(duì)Vista用戶模式的安全性評(píng)估在前面已經(jīng)有所討論[7] 。
C、;;;;Prerequisites
由于無法訪問Windows Vista的源代碼,我們通過debugger(調(diào)試器)、disassembler(反編譯)、hex editor(16進(jìn)制編輯器,例如UE)學(xué)習(xí)了Windows Vista Community Technical Preview (CTP) Build 5365版本 。如果讀者不熟悉X86體系架構(gòu)和匯編語言的知識(shí),推薦大家一本不錯(cuò)的關(guān)于X86匯編語言的在線圖書[8] 。另外,在看該文檔前你需要熟悉一些Windows系統(tǒng)架構(gòu)的知識(shí),推薦大家閱讀[9],該書講解了Windows系統(tǒng)架構(gòu)的知識(shí),同時(shí)這本書的一些知識(shí)同樣可以應(yīng)用到Vista系統(tǒng)上 。在該文檔公布時(shí)Vista系統(tǒng)還在測(cè)試階段,但Vista在后來版本的安全性方面又做了一些改動(dòng) 。我們希望Vista在最終的發(fā)布版本上有更多的改變,同時(shí)我們也計(jì)劃繼續(xù)對(duì)未來的Vista版本的內(nèi)核改動(dòng)進(jìn)行研究 。




II Vista Boot Process

A、;;;;Windows Vista Boot Manager (階段1)
Windows Vista支持從PC/AT BIOS和Intel新的EFI(可擴(kuò)展固件接口)啟動(dòng) 。我們的分析過程忽略了EFI部分 。在本章節(jié)的最后部分,引用了bootmgr入口點(diǎn)的開始指令(DllMail為EFI的入口點(diǎn)指令,offset 0為PC/AT的入口點(diǎn)指令)這個(gè)過程從Vista啟動(dòng)管理器開始,定位%SystemDrive%/bootmgr 文件 (for PC/AT legacy BIOS)或%SystemDrive%/Boot/EFI/bootmgr.efi (for EFI BIOS) 。Vista Boot Manager是啟動(dòng)Vista的必須環(huán)節(jié),但也適用于啟動(dòng)Windows Vista之前的Windows版本 。
Vista Boot Manager首先調(diào)用InitializeLibrary,然后依次調(diào)用BlpArchInitialize (GDT, IDT, etc.), BlMmInitialize (memory management), BlpFwInitialize (firmware=固件?), BlpTpmInitialize (TPM), BlpIoInitialize (file systems), BlpPltInitialize (PCI configuration), BlBdInitialize (debugging), BlDisplayInitialize, BlpResourceInitialize (finds its own .rsrc section), and BlNetInitialize 。
在Vista系統(tǒng)內(nèi),Windows傳統(tǒng)的boot.ini配置文件已經(jīng)被啟動(dòng)配置數(shù)據(jù)文件(BCD)所代替,Vista下該文件位于%SystemDrive%/Boot/BCD,該文件也是注冊(cè)表的值(在Vista下被掛載在HKEY_LOCAL_MACHINE/BCD00000000下) 。可以使用bcdedit.exe來查看該文件的內(nèi)容 。

推薦閱讀