文档介绍:Windows7安全性分析物理与电信工程学院江捷刘卓俊王骏昂资源:新浪微盘邮箱:略Q群:极品讨论组微博:忘了本课件模版系盗用华南师范大学物理与电信工程学院唐小煜老师,请作者谅解Windows7的安全性(目录)一、保护内核二、更安全的网页浏览(InPrivate、保护模式)三、安全工具和应用软件Windows防火墙WindowsDefender反间谍软件MicrosoftSecurityEssentials反病毒软件四、监控ActionCenter五、系统及数据加密(登陆、文件、全盘)一、,这也使得它成为恶意软件和其他攻击的主要目标。基本上,如果攻击者能够访问或操控操作系统的内核,那么他们可以在其他应用程序甚至操作系统本身都无法检测到的层次上执行恶意代码。微软开发了“内核模式保护”来保护核心,并确保不会出现未获授权的访问。Windows7内核组成在Windows里面有一个叫做SSDT的东西,SSDT的全称是SystemServicesDescriptorTable,系统服务描述符表。这个表就是一个把Ring3的Win32API和Ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。正因为它是连接了内核模式和用户模式的函数,所以黑客只要把这张表给偷梁换柱,换成自己写的函数(病毒、恶意程序)地址,就可以实现其狂妄的目的了。因此,微软在它的第一版x64系统(XPx64)上引入了一项新技术。当然包括Windows7,新增了一个内核检查措施,称为KernelPatchProtection又名PatchGuard,简称KPP,对内核本身和重要的数据结构进行保护。(ASLR)通过将关键的操作系统功能在内存中进行随机分布,可以将攻击者阻止在他们踌躇于从何处进行攻击时。微软还开发了数据执行保护(DEP),以防止那些可能包含数据的文件或存储在保留给数据区域的文件去执行任何类型的代码。DEP对堆栈溢出的保护在栈溢出介绍中提及到Windows体系结构下函数堆栈布局(地址从高向低)如表1:如果发生堆栈溢出,恶意代码通过覆盖在堆栈(stack)上的局部变量,从而修改函数的返回地址,而导致恶意代码执行。表2是这类攻击方式的堆栈结构的一个典型例子。DEP保护栈溢出攻击过程是这样的:不采用ASR技术的进程,因其地址空间固定,攻击这可预先得出攻击代码的地址,将起覆盖到某函数返回地址的位置,使函数返回时跳转到攻击代码的位置执行。当DEP保护机制被使用后,由于恶意代码是存放在系统的数据页面(堆栈页面上),那么函数返回时,指令寄存器EIP将跳转到恶意代码的入口地址。此时该页面是非可执行的(non-executable),于是DEP就会触发系统异常而导致程序中止。ASR技术ASR技术主要对进程的栈,堆,主程序代码段,静态数据段,共享库,GOT(GlobalOffsetTable)等所在的地址进行随机化。。采用了ASR技术后,因为攻击代码的地址不固定,攻击者只能猜测该地址,所以不能保证正确跳转到攻击代码的位置。