Windows系统攻防技术1_new资料.pptx

1Windows系统安全攻防技术Windows操作系统基本结构Windows操作系统基本模型 内核模式：内核代码运行在处理器特权模式(ring0) 用户模式：应用程序代码运行在处理器非特权模式(ring3)系统支持进程 服务进程 用户应用程序 环境子系统核心子系统DLL用户模式内核模式窗口和图形2执行体内核设备驱动程序硬件抽象层(HAL)Windows系统核心结构和组件 系统进程Idle/System/smss/winlogon/lsass/servicesWindows环境子系统内核:win32k.sys用户:csrss.exe子系统DLL:Kernel32/Advapi32/User32/Gdi32Ntdll.dll 用户模式/内核模式GWWindows执行体Ntoskrnl.exe上层 内核Ntoskrnl.exe中函数和硬件体系结构支持硬件抽象层hal.dll  设备驱动程序 3Windows的进程和线程管理Windows下的进程和线程 可执行程序:静态指令序列 进程：一个容器，包含至少一个执行线程 线程：进程内部的指令执行实体Windows进程构成元素 私有虚拟内存地址空间 映射至进程内存空间的可执行程序 资源句柄列表访问令牌(SecurityAccessToken) 进程ID，父进程ID 至少一个执行线程Windows线程包含基本部件(context) 处理器状态CPU寄存器内容 两个栈(内核模式、用户模式)线程局部存储区(TLS)，共享进程虚拟地址空间和资源列表线程ID进程访问令牌虚拟地址描述符VAD VAD资源句柄列表对象对象线程线程访问令牌4Windows的内存管理 系统核心内存区间 0xFFFFFFFF~04G~2G) 映射内核、HAL、Win32k.sys子系统等 内核态可操纵(DKOM) 用户内存区间 002G~0G) 堆:动态分配变量(malloc),向高地址增长 静态内存区间:全局变量、静态变量 代码区间:从0始 栈:向低地址增长 每个线程对应一个用户态的栈和堆Win32Windows文件系统FAT(FileAllocationTable文件分配表) 1980:FAT121987:FAT161995:FAT32文件目录表：Table;文件分配表：LinkedList 安全性弱，正在被NTFS取代NTFS(NTFileSystem)1990s:MS/IBMjointproject,从OS/2文件系统HPFS继承NTFSv3.xforWindowsNT5.x,较FAT更具安全性(ACL)，更好的性能、可靠性和磁盘利用效率 基于访问控制列表机制保证文件读写安全性 支持任意UTF-16命名，使用B+树进行索引，…Metadata保存文件相关各种数据，保存在MetaFileTable(MFT)BootSector MFT表 文件数据 MFT备18PE文件格式DOSMZheaderDOSstubPEheaderSectiontableSection1Section2Section...SectionnHighLowDOS部首PE文件头块表块Windows系统的注册表8Windows系统注册表 Windows配置和控制方面关键角色 系统全局配置的存储仓库 每个用户配置信息的存储仓库 应用软件配置信息的存储仓库 注册表查找编辑工具Regedit.exe 注册表的读写 读取:系统引导过程,系统登录过程,应用程序启动过程 修改:缺省安装,应用程序安装,设备驱动安装,修改应用程序配置 注册表在文件系统上的存储(Hive)HKLM\SYSTEM\CurrentControlSet\Control\hivelist 注册表监视工具RegMon注册表ASEP点-autorun 经常被恶意代码/攻击者利用WindowsNT5.x中的网络结构TCPIP.SYS9物理层链路层网络/传输层会话/表示层应用层2推荐书籍 深入解析Windows操作系统(第四版)WindowsServer2003/WindowsXP技术内幕 作者MarkE.RussinovichsysinternalsDavidA.Solomon 译者 潘爱民研究员@MSRA 英文版电子书 《Windows内核原理与实现》 潘爱民著2Windows安全性11 设计目标 一致的、健壮的、基于对象的安全模型 满足商业用户的安全需求,达到CC(CommonCriteria)评估标准EAL4 AAA:身份验证、授权、审计 一台机器上多个用户之间安全地共享资源 进程，内存，设备，文