网络信息对抗第五章Windows安全攻防.ppt

Windows的进程和线程管理 Windows下的进程和线程 可执行程序: 静态指令序列 进程：一个容器，包含至少一个执行线程 线程：进程内部的指令执行实体 Windows进程构成元素 私有虚拟内存地址空间 映射至进程内存空间的可执行程序 资源句柄列表 访问令牌(Security Access Token) 进程ID，父进程ID 至少一个执行线程 Windows线程包含基本部件(context) 处理器状态CPU寄存器内容 两个栈(内核模式、用户模式) 线程局部存储区(TLS)，共享进程虚拟地址空间和资源列表 线程ID 第三十页，共八十页。 执行体进程块(EPROCESS/KPROCESS/PEB) 第三十一页，共八十页。 执行体线程块(ETHREAD/KTHREAD/TEB) 第三十二页，共八十页。 Windows的内存管理 系统核心内存区间 0xFFFFFFFF~0(4G~2G) 映射内核、HAL、Win32k.sys子系统等 内核态可操纵(DKOM) 用户内存区间 00(2G~0G) 堆: 动态分配变量(malloc), 向高地址增长 静态内存区间: 全局变量、静态变量 代码区间: 从0始 栈: 向低地址增长 单线程进程：(栈底地址: 0x0012FFXXXX) 每个线程对应一个用户态的栈和堆 Windows Memory layout 第三十三页，共八十页。 Windows的内存管理 第三十四页，共八十页。 程序装载和运行 第三十五页，共八十页。 Windows系统API调用过程 第三十六页，共八十页。 API Hooking机制 API Hooing: 对API调用过程进行Hook(挂钩), 改变API调用流程以达到某种目的的技术方法。 API Hooking目的 隐藏自身存在: 恶意代码, Rootkit 安全监控和加强: 防病毒软件, … 安全监控和分析: Sandbox, … API Hooking技术手段 用户层API Hooking: Proxy DLL, IAT Patching, Code overwriting, Debugger 内核层API Hooking: SSDT hook, IDT Hook, Sysenter hook, IRP hook 混合模式API Hooking: 结合两者，有些内核API没有很好的文档支持 第三十七页，共八十页。 Windows系统的注册表 Windows系统注册表 Windows配置和控制方面关键角色 系统全局配置的存储仓库 每个用户配置信息的存储仓库 注册表查找编辑工具 Regedit.exe 注册表的读写 读取: 系统引导过程, 系统登录过程, 应用程序启动过程 修改: 缺省安装, 应用程序安装, 设备驱动安装, 修改应用程序配置 注册表在文件系统上的存储(Hive) HKLM\SYSTEM\CurrentControlSet\Control\hivelist 注册表监视工具 RegMon 注册表自动启动可扩展点（ASEP点）-autorun 经常被恶意代码/攻击者利用 第三十八页，共八十页。 提纲 Windows操作系统简介 Windows NT 5.x的系统结构 Windows NT 5.x的网络结构 Windows NT 5.x的安全结构 第三十九页，共八十页。 Windows NT5.x中的网络结构 第四十页，共八十页。 Windows NT5.x中的网络结构 第四十一页，共八十页。 Windows Networking API NetBIOS－网络基本输入/输出系统 Windows独有的局域网组网协议 RPC –远过程调用 PRC/DCOM WinSock API 命名管道(Named Pipes)和邮件槽(Mail Slots) 命名管道：提供可靠双向通信，协议无关的标识Windows网络资源的方法 邮件槽：提供不可靠的单向数据传输，支持广播 Web访问API WinInet/WinHTTP/HTTP API 第四十二页，共八十页。 NetBIOS NetBIOS(网络基本输入/输出系统)：最初由IBM开发，MS利用NetBIOS作为构建局域网的上层协议 NetBIOS使得程序和网络之间有了标准的接口，方便应用程序的开发。并且可以移植到其他的网络中 NetBIOS位于OSI模型会话层，TCP/IP之上 NetBIOS有两种通讯模式 会话模式。一对一进行通讯，LAN中的机器之间建立会话，可以传输较多的信息，并且可以检查传输错误 数据报模式。可以进行广播或者一对多的通讯，传输数据大小受限制，没有错误检查机制，也不必建立通讯会话 NetBIOS over TCP/IP