Windows7安全性分析2知识分享.ppt

关于用netsh.exe配置系统防火墙 (1).查看、开启或禁用系统防火墙 打开命令提示符输入输入命令“netsh firewallshow state”然后回车可查看防火墙的状态，从显示结果中可看到防火墙各功能模块的禁用及启用情况。命令“netsh firewall set opmode disable”用来禁用系统防火墙，相反命令“netsh firewall set opmode enable”可启用防火墙。 关于用netsh.exe配置系统防火墙 (2).允许文件和打印共享 　　文件和打印共享在局域网中常用的，如果要允许客户端访问本机的共享文件或者打印机，可分别输入并执行如下命令： 　　netsh firewall add portopening UDP 137 Netbios-ns 　　(允许客户端访问服务器UDP协议的137端口) 　　netsh firewall add portopening UDP 138 Netbios-dgm 　　(允许访问UDP协议的138端口) 　　netsh firewall add portopening TCP 139 Netbios-ssn 　　(允许访问TCP协议的139端口) 　　netsh firewall add portopening TCP 445 Netbios-ds 　　(允许访问TCP协议的445端口) 　　命令执行完毕后，文件及打印共享所须的端口都被防火墙放行了。 (3).允许ICMP回显 执行命令“netsh firewall set icmpsetting 8”可开启ICMP回显，反之执行“netsh firewall set icmpsetting 8 disable”可关闭回显。 * 计算机网络与信息安全 Windows 7 安全性分析 物理与电信工程学院 江捷 刘卓俊 王骏昂 资源：新浪微盘 邮箱：略 Q 群：极品讨论组 微博：忘了 本课件模版系盗用华南师范大学物理与电信工程学院唐小煜老师，请作者谅解 Windows 7 的安全性（目录） 一、保护内核 二、更安全的网页浏览（InPrivate、保护模式） 三、安全工具和应用软件 Windows防火墙 Windows Defender反间谍软件 Microsoft Security Essentials反病毒软件 四、监控Action Center 五、系统及数据加密（登陆、文件、全盘） 一、保护内核 1.内核是操作系统的核心，这也使得它成为恶意软件和其他攻击的主要目标。基本上，如果攻击者能够访问或操控操作系统的内核，那么他们可以在其他应用程序甚至操作系统本身都无法检测到的层次上执行恶意代码。微软开发了“内核模式保护”来保护核心，并确保不会出现未获授权的访问。 Windows 7 内核组成 在Windows里面有一个叫做SSDT的东西，SSDT 的全称是 System Services Descriptor Table，系统服务描述符表。 这个表就是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起来。 SSDT 并不仅仅只包含一个庞大的地址索引表，它还包含着一些其它有用的信息，诸如地址索引的基地址、服务函数个数等。 正因为它是连接了内核模式和用户模式的函数，所以黑客只要把这张表给偷梁换柱，换成自己写的函数（病毒、恶意程序）地址，就可以实现其狂妄的目的了。 因此，微软在它的第一版x64系统（XP x64）上引入了一项新技术。当然包括Windows7，新增了一个内核检查措施，称为Kernel Patch Protection又名PatchGuard，简称KPP，对内核本身和重要的数据结构进行保护。 Windows 7 内核模式保护 2.地址空间层随机化（ASLR）通过将关键的操作系统功能在内存中进行随机分布，可以将攻击者阻止在他们踌躇于从何处进行攻击时。微软还开发了数据执行保护（DEP），以防止那些可能包含数据的文件或存储在保留给数据区域的文件去执行任何类型的代码。 DEP对堆栈溢出的保护 在栈溢出介绍中提及到Windows体系结构下函数堆栈布局（地址从高向低）如表1： 如果发生堆栈溢出，恶意代码通过覆盖在堆栈（stack）上的局部变量，从而修改函数的返回地址，而导致恶意代码执行。表2是这类攻击方式的堆栈结构的一个典型例子。 DEP保护 栈溢出攻击过程是这样的：不采用ASR技术的进程，因其地址空间固定，攻击这可预先得出攻击代码的地址，将起覆盖到某函数返回地址的位置，使函数返回时跳转到攻击代码的位置执行。 当DEP保护机制被使用后，由于恶意代码是存放在系统的数据页面（堆栈页面上），那么函数返回时，指令寄存器EIP将跳转到恶意代码的入口地址。此时该页面是非可