网络信息对抗第五章Windows安全攻防

网络信息对抗主讲人：张瑜Email:bullzhangyu@126.comQQ:344248003网络信息对抗第五章：Windows安全攻防提纲Windows操作系统简介WindowsNT5.x的系统结构WindowsNT5.x的网络结构WindowsNT5.x的安全结构BMW＝BreakMyWindows桌面操作系统市场份额发展历程桌面(客户端)操作系统1990:Windows3.x1995-1999:Windows95,98,ME(4.x)2000:Windows2000Pro(5.0.x)2001:WindowsXP(5.1.x)2007:WindowsVista(6.0.x)2009:Windows7(6.1.x)2012：Windows8（6.4）2015：Windows10（10）服务器操作系统1993:WindowsNT(3.x,4.x)2000:Windows2000Server(5.0.x)2003:WindowsServer2003(5.2.x)2008:WindowsServer2008(6.x)2012：WindowsServer2012Windows82011年9月14日，Windows8开发者预览版发布。兼容移动终端，微软将苹果的IOS、谷歌的Android视为Windows8在移动领域的主要竞争对手。2012年10月，微软发布Windows8正式版，可在平板电脑上使用。Windows8界面Windows10Windows10手机预览版在2月正式发布；Windows10零售版正式发布时间：2015年夏季，将涵盖PC、平板电脑、手机、XBOX和服务器端，芯片类型将涵盖x86和ARM。Windows10界面Windows10界面提纲Windows操作系统简介WindowsNT5.x的系统结构WindowsNT5.x的网络结构WindowsNT5.x的安全结构推荐书籍深入解析Windows操作系统(第四版)WindowsServer2003/WindowsXP/Windows2000技术内幕作者MarkE.RussinovichsysinternalsDavidA.Solomon译者潘爱民研究员@MSRA英文版电子书WindowsKernel和软件资源WindowsAcademicProgramWindowsResearchKernel(WRK)SubsetofWindowskernelsourcecodeFormoreinformation,see=2416&c1=en-us&c2=0Windows操作系统基本结构Windows操作系统基本模型内核模式：内核代码运行在处理器特权模式(ring0)用户模式：应用程序代码运行在处理器非特权模式(ring3)Windows操作系统基本结构Windows系统核心结构和组件系统进程Idle/System/smss/winlogon/lsass/servicesWindows环境子系统内核:win32k.sys用户:csrss.exe子系统DLL:Kernel32/Advapi32/User32/Gdi32Ntdll.dll用户模式/内核模式GWWindows执行体Ntoskrnl.exe上层内核Ntoskrnl.exe中函数和硬件体系结构支持硬件抽象层hal.dll设备驱动程序Windows系统核心结构和组件Windows系统的启动机制BootLoaderPhaseNTLDR休眠模式恢复:系统盘hiberfil.sysboot.inimulti(0)disk(0)rdisk(0)partition(2)\WINDOWS=MicrosoftWindowsXPProfessional/fastdetectKernelLoadingPhase装载Kernel:ntoskrnl.exe/hal.dll/kdcom.dll/bootvid.dll装载系统盘Windows系统的启动机制SessionManager内核进程启动SessionManagerSubsystem(smss.exe)创建环境变量启动Win32子系统(win32k.sys)启动Win32子系统用户模式组件(csrss.exe)创建虚拟内存映射启动Winlogon登录界面(winlogon.exe)Windows系统的启动机制Winlogon调用GINA－登录界面处理，获得用户credentialsWinlogon将credentials传递给LSA(LocalSecurityAuthority)LSA确定登录帐号对应的帐号数据库(LocalSAM,DomainSAM,ActiveDirectory)，并credentials是否可登录Logonphase启动ServiceControlManager(SCM,service.exe)，启动设置为“自动启动”的服务启动LSASS(LocalSecurityAuthoritySubsystemService,lsass.exe)，执行本地安全策略和组策略启动设置为“开机自动启动”的应用程序“开机自启”应用程序位置HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\RunHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKCU\Software\Microsoft\WindowsNT\CurrentVersion\Windows\RunHKCU\Software\Microsoft\Windows\CurrentVersion\RunHKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce“开机自启”应用程序位置AllUsersProfilePath\StartMenu\Programs\Startup\(pleasenotethatthispathislocalizedonnon-EnglishversionsofWindows)CurrentUserProfilePath\StartMenu\Programs\Startup\(pleasenotethatthispathislocalizedonnon-EnglishversionsofWindows)“开机自启”是恶意程序期望的目标！太多了？！找工具帮你的忙Autoruns360安全卫士Autoruns360安全卫生Windows文件系统FAT(FileAllocationTable文件分配表)1980:FAT121987:FAT161995:FAT32文件目录表：Table;文件分配表：LinkedList安全性弱，正在被NTFS取代NTFS(NTFileSystem)1990s:M$/IBMjointproject,从OS/2文件系统HPFS继承NTFSv3.xforWindowsNT5.x,较FAT更具安全性(ACL)，更好的性能、可靠性和磁盘利用效率基于访问控制列表机制保证文件读写安全性支持任意UTF-16命名，使用B+树进行索引，…Metadata保存文件相关各种数据，保存在MetaFileTable(MFT)PE文件格式Windows的进程和线程管理Windows下的进程和线程可执行程序:静态指令序列进程：一个容器，包含至少一个执行线程线程：进程内部的指令执行实体Windows进程构成元素私有虚拟内存地址空间映射至进程内存空间的可执行程序资源句柄列表访问令牌(SecurityAccessToken)进程ID，父进程ID至少一个执行线程Windows线程包含基本部件(context)处理器状态CPU寄存器内容两个栈(内核模式、用户模式)线程局部存储区(TLS)，共享进程虚拟地址空间和资源列表线程ID执行体进程块(EPROCESS/KPROCESS/PEB)执行体线程块(ETHREAD/KTHREAD/TEB)Windows的内存管理系统核心内存区间0xFFFFFFFF~0x80000000(4G~2G)映射内核、HAL、Win32k.sys子系统等内核态可操纵(DKOM)用户内存区间0x00000000~0x80000000(2G~0G)堆:动态分配变量(malloc),向高地址增长静态内存区间:全局变量、静态变量代码区间:从0x00400000开始栈:向低地址增长单线程进程：(栈底地址:0x0012FFXXXX)每个线程对应一个用户态的栈和堆WindowsMemorylayoutWindows的内存管理程序装载和运行Windows系统API调用过程APIHooking机制APIHooing:对API调用过程进行Hook(挂钩),改变API调用流程以达到某种目的的技术方法。APIHooking目的隐藏自身存在:恶意代码,Rootkit安全监控和加强:防病毒软件,…安全监控和分析:Sandbox,…APIHooking技术手段用户层APIHooking:ProxyDLL,IATPatching,Codeoverwriting,Debugger内核层APIHooking:SSDThook,IDTHook,Sysenterhook,IRPhook混合模式APIHooking:结合两者，有些内核API没有很好的文档支持Windows系统的注册表Windows系统注册表Windows配置和控制方面关键角色系统全局配置的存储仓库每个用户配置信息的存储仓库注册表查找编辑工具Regedit.exe注册表的读写读取:系统引导过程,系统登录过程,应用程序启动过程修改:缺省安装,应用程序安装,设备驱动安装,修改应用程序配置注册表在文件系统上的存储(Hive)HKLM\SYSTEM\CurrentControlSet\Control\hivelist注册表监视工具RegMon注册表自动启动可扩展点（ASEP点）-autorun经常被恶意代码/攻击者利用提纲Windows操作系统简介WindowsNT5.x的系统结构WindowsNT5.x的网络结构WindowsNT5.x的安全结构WindowsNT5.x中的网络结构WindowsNT5.x中的网络结构WindowsNetworkingAPINetBIOS－网络基本输入/输出系统Windows独有的局域网组网协议RPC–远过程调用PRC/DCOMWinSockAPI命名管道(NamedPipes)和邮件槽(MailSlots)命名管道：提供可靠双向通信，协议无关的标识Windows网络资源的方法邮件槽：提供不可靠的单向数据传输，支持广播Web访问APIWinInet/WinHTTP/HTTPAPINetBIOSNetBIOS(网络基本输入/输出系统)：最初由IBM开发，MS利用NetBIOS作为构建局域网的上层协议NetBIOS使得程序和网络之间有了标准的接口，方便应用程序的开发。并且可以移植到其他的网络中NetBIOS位于OSI模型会话层，TCP/IP之上NetBIOS有两种通讯模式会话模式。一对一进行通讯，LAN中的机器之间建立会话，