Adobe Reader X保护模式技术分析.docVIP

Adobe Reader X保护模式技术分析 　　摘 要：介绍了Adobe Reader X保护模式所使用的相关技术，讨论了各技术手段能够达到的功能和所受的限制。 　　关键词：Adobe Reader X；保护模式；技术分析 　　中图分类号：TP309 文献标识码：A 文章编号2012）011012502 　　作者简介：宗波（1984-），男，硕士，宜春学院助教，研究方向为网络安全。 　　1 沙盒设计目标 　　Windows 系统提供的可用于沙盒的安全机制主要有以下4个方面：作业对象Job Object）、受限令牌（Restricted Token）、分离桌面、用户访问控制（UAC）。 　　其中对UAC的支持需要 Windows Vista 或这之后的版本。出于安全性和实现复杂度的考虑，AdobeReader X沙盒目前没有使用隔离桌面机制。 　　2 作业对象（Job Object） 　　Windows 2000 开始提供了一个新的内核对象——作业对象。作业类似于UNIX 里的 ulimit，它能够对作业内的进程所使用的资源做限制，例如处理器时间、内存总量、UI 对象的访问、作业内进程总数等。 　　作业中进程数量为 1，不能创建或切换桌面；不能修改显示设置；不能调用 ExitWindows 来注销或重启系统；不能访问作业之外进程创USER Handle；不能通过 SystemParametersInfo 修改系统参数；禁止作业内进程使用包含管理员组的令牌。Adobe Reader X 没有通过作业对象对沙盒进程做如下限制： 剪贴板的读写、访问Global Atom、内存及处理器的使用。 　　可以使用 Process Explorer 查看 Adobe Reader X 作业的限制：作业中进程数量为1直接导致了exec 类的shellcode的执行失败。这有效地防止了恶意代码启动新的进程。 　　3 受限令牌 　　Windows使用令牌对象来标识一个进程的安全环境。令牌中包含了SID 和特权等，其中SID代表了创建进程的用户的账户和工作组，特权说明了进程可以对系统进行的操作。当进程访问一个受保护的对象或进行一些系统操作的时候，Windows 将通过一个算法来对比令牌和被访问对象的 DACL，然后决定操作是否成功。 受限令牌就是去除和限制了令牌中不必要的权限，避免恶意代码对系统的损害，主要体现在以下3个方面：将令牌中的 SID 标记为Deny；在 Restrict SID 列表中添加SID；去除令牌中的特权。 　　将SID标记为Deny主要应对这种情况：令牌中的SID授予用户的访问权限是叠加的关系，如果令牌T中包含A、B两个工作组的SID，那么用户可以访问隶属于A工作组或隶属于B工作组的文件。由于对象DACL中的Access Deny ACE具有更高的优先级，如果文件F中包含针对A工作组的Access Deny ACE，则令牌T将无法访问文件F，如果简单去掉令牌 T 中A工作组 的 SID，将会导致用户有可能具备访问文件F的权限。将SID标记为Deny 则不会出现这种情况。 　　当令牌中存在受限SI列表的时候，Windows 将会两次校验DACL以决定访问权限，第一次根据普通SID和 deny SID 遍历对象的 DACL，第一次检查通过后再根据 受限列表中的 SID 遍历对象的DACL，只有两次检查都成功才授予用户访问权限。 　　4 隔离桌面 　　由于Windows自身设计的原因，在同一桌面下运行的程序存在如下安全问题：Shatter、Attack、SetWindowsHookEx、Keylog、截屏。 　　由于Winodws允许同一桌面下无特权的程序向高特权的程序发送消息，这将存在安全隐患。shatter attacks是通过向其它进程发送消息来实现注入代码，一些 Windows 消息允许携带回调函数参数，如果攻击者可以通过某些方式向高权限进程写入Shellcode，然后发送WM_TIMER消息就可以实现在高权限进程执行代码。 　　在同一桌面下还可以通过SetWindowsHookEx（）来向其它进程注入代码。Windows 程序还可以通过GetKeyState（） 获取同一桌面下其它进程的击键信息。通过隔离桌面可以防止此类的攻击。首先创建一个桌面，然后调用 CreatePorcessAsUser（） 并设置。 　　5 UAC 　　Windows Vista 操作系统支持UAC、UIPI（User Interface Privilege Isolation，用户界面权限隔离）是UAC机制中的一部分。UIPI 将进程分为不同的 integrity 级别，从而保证低 int