网络攻防技术与实践课件 课程4-Windows操作系统及其安全机制.pptVIP

*网络攻防技术与实践课程*Windows安全性设计目标一致的、健壮的、基于对象的安全模型满足商业用户的安全需求,达到CC评估标准EAL4AAA:身份验证、授权、审计一台机器上多个用户之间安全地共享资源进程，内存，设备，文件，网络安全模型服务器管理和保护各种对象客户通过服务器访问对象服务器扮演客户，访问对象访问的结果返回给服务器攻击者目标在拥有最高权限的用户帐户环境中执行命令。*网络攻防技术与实践课程*WindowsNT5.x安全体系结构winlogonLSASSAuthentication身份验证Authorization授权Auditing审计SRMEventLogSRM-安全引用监控器SRM(SecurityReferenceMonitor)安全引用监控器Windows资源宝库的看门人位置:Windows执行体Ntoskrnl.exe上层内核模式，负责对运行在用户模式代码的各种资源存取请求进行检查*网络攻防技术与实践课程*S.Ames,M.Gasser,andR.Schell,JohnS.SecurityKernelDesignandImplementation:AnIntroduction,IEEEComputer,Vol.16,No.7,1983.Subject–安全主体WindowsNT5.x的安全主体用户(users)和用户帐户(accounts)用户组(groups)计算机(computers)AccountIdentifier:Securityidentifier(SID)安全标识符时间和空间唯一的安全主体帐户标识48位数值:S-1-N-Y1-Y2-Y3-Y4Somewell-knownSIDs:AdministratorY4(RID)=500*网络攻防技术与实践课程*AutoRuns*网络攻防技术与实践课程*360安全卫士-系统诊断功能*网络攻防技术与实践课程**网络攻防技术与实践课程*Windows文件系统FAT(FileAllocationTable文件分配表)1980:FAT12?1987:FAT16?1995:FAT32文件目录表：Table;文件分配表：LinkedList安全性弱，正在被NTFS取代NTFS(NTFileSystem)1990s:M$/IBMjointproject,从OS/2文件系统HPFS继承NTFSv3.xforWindowsNT5.x,较FAT更具安全性(ACL)，更好的性能、可靠性和磁盘利用效率基于访问控制列表机制保证文件读写安全性支持任意UTF-16命名，使用B+树进行索引，…Metadata保存文件相关各种数据，保存在MetaFileTable(MFT)BootSectorMFT表文件数据MFT备*网络攻防技术与实践课程*PE文件格式DOSMZheaderDOSstubPEheaderSectiontableSection1Section2Section...SectionnHighLow*网络攻防技术与实践课程*Windows的进程和线程管理Windows下的进程和线程可执行程序:静态指令序列进程：一个容器，包含至少一个执行线程线程：进程内部的指令执行实体Windows进程构成元素私有虚拟内存地址空间映射至进程内存空间的可执行程序资源句柄列表访问令牌(SecurityAccessToken)进程ID，父进程ID至少一个执行线程Windows线程包含基本部件(context)处理器状态CPU寄存器内容两个栈(内核模式、用户模式)线程局部存储区(TLS)，共享进程虚拟地址空间和资源列表线程ID进程访问令牌VADVAD虚拟地址描述符资源句柄列表对象对象线程线程访问令牌*网络攻防技术与实践课程*执行体进程块(EPROCESS/

KPROCESS/PEB)*网络攻防技术与实践课程*执行体线程块(ETHREAD/

KTHREAD/TEB)*网络攻防技术与实践课程*Windows的内存管理系统核心内存区间0xFFFFFFFF~0(4G~2G)映射内核、HAL、Win32k.sys子系统等内核态可操纵(DKOM)用户内存区间0x0000000