Windows7安全性分析.pptx

Windows 7 的安全性(目录)
一、保护内核
二、更安全的网页浏览(InPrivate、保护模式)
三、安全工具和应用软件
Windows防火墙
Windows Defender反间谍软件
Microsoft Security Essentials反病毒软件
四、监控Action Center
五、系统及数据加密(登陆、文件、全盘)
一、保护内核
,这也使得它成为恶意软件和其他攻击的主要目标。基本上,如果攻击者能够访问或操控操作系统的内核,那么他们可以在其他应用程序甚至操作系统本身都无法检测到的层次上执行恶意代码。微软开发了“内核模式保护”来保护核心,并确保不会出现未获授权的访问。
Windows 7 内核组成
Windows7的内核分为几层,首先最底层当然是硬件,上面是硬件的抽象层,与硬件抽象层直接对话的是操作系统的内核,文件系统和其它的内核模式下的DRIVER可以通过调用内核封装好的API(EXPORTED DRIVER SUPPORT ROUTINES)来与系统内核通信。再往上就是USER MODE运行的空间了,这幅图上面画的已经很清楚了,用户模式的DRIVER与WIN32API是调用的关系,也就是从某种意义上说用户模式的DRIVER其实就是一个应用程序。但是真正的用户驱动程序不与用户模式的DRIVER直接对话也是通过WIN32API来进行通信的。
   我们总结一下内核模式与用户模式的最大不同就是一个是基于WIN32API的,一个是基于系统内核调用的,他们所调用的函数接口不同,工人方式不同,所用数据结构也不一样。但是有一点是一样的,用户的应用程序不与驱动直接对话,而是统一调用WIN32API.
Windows 7 内核组成
在Windows里面有一个叫做SSDT的东西,SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。
这个表就是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起来。
SSDT 并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。
正因为它是连接了内核模式和用户模式的函数,所以黑客只要把这张表给偷梁换柱,换成自己写的函数(病毒、恶意程序)地址,就可以实现其狂妄的目的了。
因此,微软在它的第一版x64系统(XP x64)上引入了一项新技术。当然包括Windows7,新增了一个内核检查措施,称为Kernel Patch Protection又名PatchGuard,简称KPP,对内核本身和重要的数据结构进行保护。
Windows 7 内核模式保护
(ASLR)通过将关键的操作系统功能在内存中进行随机分布,可以将攻击者阻止在他们踌躇于从何处进行攻击时。微软还开发了数据执行保护(DEP),以防止那些可能包含数据的文件或存储在保留给数据区域的文件去执行任何类型的代码。
DEP对堆栈溢出的保护
在栈溢出介绍中提及到Windows体系结构下函数堆栈布局(地址从高向低)如表1:
如果发生堆栈溢出,恶意代码通过覆盖在堆栈(stack)上的局部变量,从而修改函数的返回地址,而导致恶意代码执行。表2是这类攻击方式的堆栈结构的一个典型例子。
DEP保护
栈溢出攻击过程是这样的:不采用ASR技术的进程,因其地址空间固定,攻击这可预先得出攻击代码的地址,将起覆盖到某函数返回地址的位置,使函数返回时跳转到攻击代码的位置执行。
当DEP保护机制被使用后,由于恶意代码是存放在系统的数据页面(堆栈页面上),那么函数返回时,指令寄存器EIP将跳转到恶意代码的入口地址。此时该页面是非可执行的(non-executable),于是DEP就会触发系统异常而导致程序中止。
ASR技术
ASR技术主要对进程的栈,堆,主程序代码段,静态数据段,共享库,GOT(Global Offset Table)等所在的地址进行随机化。。采用了ASR技术后,因为攻击代码的地址不固定,攻击者只能猜测该地址,所以不能保证正确跳转到攻击代码的位置。
二、更安全的网页浏览
Windows 7 附带了当前功能最强大的网页浏览器版本IE8。您也可以在其他的Windows操作系统版本上下载并运行IE8,所以它不是专用于Windows 7的,但它确实带来了一些安全性能上的提升。
InPrivate浏览方式提供了私密上网的能力;IE8另一个安全上的改进是保护模式。