網(wǎng)絡(luò)信息對抗Windows安全攻防

1、網(wǎng)絡(luò)信息對抗主講人：張 瑜:bullzhangyu126:344248003.網(wǎng)絡(luò)信息對抗第五章：Windows平安攻防.提綱Windows操作系統(tǒng)簡介Windows NT 5.x的系統(tǒng)構(gòu)造Windows NT 5.x的網(wǎng)絡(luò)構(gòu)造Windows NT 5.x的平安構(gòu)造.BMWBreak My Windows.桌面操作系統(tǒng)市場份額marketshare.hitslink 數(shù)據(jù).桌面操作系統(tǒng)市場份額.桌面操作系統(tǒng)市場份額.Windows開展歷程桌面(客戶端)操作系統(tǒng)1990: Windows 3.x1995-1999: Windows 95, 98, ME(4.x)2000: Windows 200

2、0 Pro(5.0.x)2001: Windows XP(5.1.x)2007: Windows Vista(6.0.x)2021: Windows 7(6.1.x)2021：Windows 8 6.42021：Windows 10 10效力器操作系統(tǒng)1993: Windows NT (3.x, 4.x)2000: Windows 2000 Server(5.0.x)2003: Windows Server 2003 (5.2.x)2021: Windows Server 2021 (6.x)2021：Windows Server 2021.Windows 82021年9月14日，Window

3、s 8開發(fā)者預(yù)覽版發(fā)布。兼容挪動終端，微軟將蘋果的IOS、谷歌的Android視為Windows 8在挪動領(lǐng)域的主要競爭對手。2021年10月，微軟發(fā)布Windows 8 正式版，可在平板電腦上運(yùn)用。.Windows 8界面.Windows 10Windows 10手機(jī)預(yù)覽版在2月正式發(fā)布；Windows 10零售版正式發(fā)布時間：2021年夏季，將涵蓋PC、平板電腦、手機(jī)、XBOX和效力器端，芯片類型將涵蓋x86和ARM。.Windows 10界面.Windows 10界面.提綱Windows操作系統(tǒng)簡介Windows NT 5.x的系統(tǒng)構(gòu)造Windows NT 5.x的網(wǎng)絡(luò)構(gòu)造Windows

4、 NT 5.x的平安構(gòu)造.引薦書籍深化解析Windows操作系統(tǒng)(第四版)Windows Server 2003/Windows XP/Windows 2000技術(shù)內(nèi)幕作者M(jìn)ark E. RussinovichsysinternalsDavid A. Solomon譯者潘愛民研討員MSRA英文版電子書.Windows Kernel和軟件資源Windows Academic ProgramWindows Research Kernel (WRK)Subset of Windows kernel source codeFor more information, see microsoft/educ

5、ation/facultyconnection/articles/articledetails.aspx?cid=2416&c1=en-us&c2=0.Windows操作系統(tǒng)根本構(gòu)造Windows操作系統(tǒng)根本模型內(nèi)核方式：內(nèi)核代碼運(yùn)轉(zhuǎn)在處置器特權(quán)方式(ring 0)用戶方式：運(yùn)用程序代碼運(yùn)轉(zhuǎn)在處置器非特權(quán)方式(ring 3).Windows操作系統(tǒng)根本構(gòu)造.Windows系統(tǒng)中心構(gòu)造和組件系統(tǒng)進(jìn)程Idle/System/smss/winlogon/lsass/servicesWindows環(huán)境子系統(tǒng)內(nèi)核:win32k.sys用戶:csrss.exe子系統(tǒng)DLL: Kernel32/Advapi

6、32/User32/Gdi32Ntdll.dll用戶方式/內(nèi)核方式GWWindows執(zhí)行體Ntoskrnl.exe上層內(nèi)核Ntoskrnl.exe中函數(shù)和硬件體系構(gòu)造支持硬件籠統(tǒng)層hal.dll設(shè)備驅(qū)動程序.Windows系統(tǒng)中心構(gòu)造和組件.Windows系統(tǒng)的啟動機(jī)制Boot Loader PhaseNTLDR休眠方式恢復(fù): 系統(tǒng)盤hiberfil.sysboot.inimulti(0)disk(0)rdisk(0)partition(2)WINDOWS=Microsoft Windows XP Professional /fastdetect Kernel Loading Phase裝載K

7、ernel: ntoskrnl.exe/hal.dll/kdcom.dll/bootvid.dll裝載系統(tǒng)盤.Windows系統(tǒng)的啟動機(jī)制Session Manager內(nèi)核進(jìn)程啟動Session Manager Subsystem(smss.exe)創(chuàng)建環(huán)境變量啟動Win32子系統(tǒng)(win32k.sys)啟動Win32子系統(tǒng)用戶方式組件(csrss.exe)創(chuàng)建虛擬內(nèi)存映射啟動Winlogon登錄界面(winlogon.exe).Windows系統(tǒng)的啟動機(jī)制Winlogon調(diào)用GINA登錄界面處置，獲得用戶credentialsWinlogon將credentials傳送給LSA(Local

8、Security Authority)LSA確定登錄帳號對應(yīng)的帳號數(shù)據(jù)庫(Local SAM, Domain SAM, Active Directory)，并credentials能否可登錄Logon phase啟動Service Control Manager(SCM, service.exe)，啟動設(shè)置為“自動啟動的效力啟動LSASS(Local Security Authority Subsystem Service, lsass.exe)，執(zhí)行本地平安戰(zhàn)略和組戰(zhàn)略啟動設(shè)置為“開機(jī)自動啟動的運(yùn)用程序.“開機(jī)自啟運(yùn)用程序位置HKLMSOFTWAREMicrosoftWindowsCurre

9、ntVersionRunOnce HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun HKCUSoftwareMicrosoftWindows NTCurrentVersionWindowsRun HKCUSoftwareMicrosoftWindowsCurrentVersionRun HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce .“開機(jī)自啟運(yùn)用程序位置All Users P

10、rofilePathStart MenuProgramsStartup(please note that this path is localized on non-English versions of Windows) Current User ProfilePathStart MenuProgramsStartup(please note that this path is localized on non-English versions of Windows) “開機(jī)自啟是惡意程序期望的目的！太多了？！找工具幫他的忙Autoruns360平安衛(wèi)士.Autoruns.360平安衛(wèi)生.W

11、indows文件系統(tǒng)FAT (File Allocation Table文件分配表)1980: FAT12 1987: FAT16 1995: FAT32文件目錄表：Table; 文件分配表：Linked List平安性弱，正在被NTFS取代NTFS (NT File System)1990s: M$/IBM joint project, 從OS/2文件系統(tǒng)HPFS承繼NTFS v3.x for Windows NT 5.x, 較FAT更具平安性(ACL)，更好的性能、可靠性和磁盤利用效率基于訪問控制列表機(jī)制保證文件讀寫平安性支持恣意UTF-16命名，運(yùn)用B+樹進(jìn)展索引，Metadata保管文

12、件相關(guān)各種數(shù)據(jù)，保管在Meta File Table(MFT).PE文件格式.Windows的進(jìn)程和線程管理Windows下的進(jìn)程和線程可執(zhí)行程序: 靜態(tài)指令序列進(jìn)程：一個容器，包含至少一個執(zhí)行線程線程：進(jìn)程內(nèi)部的指令執(zhí)行實體Windows進(jìn)程構(gòu)成元素私有虛擬內(nèi)存地址空間映射至進(jìn)程內(nèi)存空間的可執(zhí)行程序資源句柄列表訪問令牌(Security Access Token)進(jìn)程ID，父進(jìn)程ID至少一個執(zhí)行線程Windows線程包含根本部件(context)處置器形狀CPU存放器內(nèi)容兩個棧(內(nèi)核方式、用戶方式)線程部分存儲區(qū)(TLS)，共享進(jìn)程虛擬地址空間和資源列表線程ID.執(zhí)行體進(jìn)程塊(EPROCES

13、S/KPROCESS/PEB).執(zhí)行體線程塊(ETHREAD/KTHREAD/TEB).Windows的內(nèi)存管理系統(tǒng)中心內(nèi)存區(qū)間0 xFFFFFFFF0 x80000000 (4G2G)映射內(nèi)核、HAL、Win32k.sys子系統(tǒng)等內(nèi)核態(tài)可支配(DKOM)用戶內(nèi)存區(qū)間0 x000000000 x80000000 (2G0G)堆: 動態(tài)分配變量(malloc), 向高地址增長靜態(tài)內(nèi)存區(qū)間: 全局變量、靜態(tài)變量代碼區(qū)間: 從0 x00400000開場棧: 向低地址增長單線程進(jìn)程：(棧底地址: 0 x0012FFXXXX)每個線程對應(yīng)一個用戶態(tài)的棧和堆Windows Memory layout.Wi

14、ndows的內(nèi)存管理.程序裝載和運(yùn)轉(zhuǎn).Windows系統(tǒng)API調(diào)用過程.API Hooking機(jī)制API Hooing: 對API調(diào)用過程進(jìn)展Hook(掛鉤), 改動API調(diào)用流程以到達(dá)某種目的的技術(shù)方法。API Hooking目的隱藏本身存在: 惡意代碼, Rootkit平安監(jiān)控和加強(qiáng): 防病毒軟件, 平安監(jiān)控和分析: Sandbox, API Hooking技術(shù)手段用戶層API Hooking: Proxy DLL, IAT Patching, Code overwriting, Debugger內(nèi)核層API Hooking: SSDT hook, IDT Hook, Sysenter h

15、ook, IRP hook混合方式API Hooking: 結(jié)合兩者，有些內(nèi)核API沒有很好的文檔支持.Windows系統(tǒng)的注冊表Windows系統(tǒng)注冊表Windows配置和控制方面關(guān)鍵角色系統(tǒng)全局配置的存儲倉庫每個用戶配置信息的存儲倉庫注冊表查找編輯工具Regedit.exe注冊表的讀寫讀取: 系統(tǒng)引導(dǎo)過程, 系統(tǒng)登錄過程, 運(yùn)用程序啟動過程修正: 缺省安裝, 運(yùn)用程序安裝, 設(shè)備驅(qū)動安裝, 修正運(yùn)用程序配置注冊表在文件系統(tǒng)上的存儲(Hive)HKLMSYSTEMCurrentControlSetControlhivelist注冊表監(jiān)視工具RegMon注冊表自動啟動可擴(kuò)展點ASEP點-aut

16、orun經(jīng)常被惡意代碼/攻擊者利用.提綱Windows操作系統(tǒng)簡介Windows NT 5.x的系統(tǒng)構(gòu)造Windows NT 5.x的網(wǎng)絡(luò)構(gòu)造Windows NT 5.x的平安構(gòu)造.Windows NT5.x中的網(wǎng)絡(luò)構(gòu)造.Windows NT5.x中的網(wǎng)絡(luò)構(gòu)造.Windows Networking APINetBIOS網(wǎng)絡(luò)根本輸入/輸出系統(tǒng)Windows獨有的局域網(wǎng)組網(wǎng)協(xié)議RPC 遠(yuǎn)過程調(diào)用PRC/DCOMWinSock API命名管道(Named Pipes)和郵件槽(Mail Slots)命名管道：提供可靠雙向通訊，協(xié)議無關(guān)的標(biāo)識Windows網(wǎng)絡(luò)資源的方法郵件槽：提供不可靠的單向數(shù)據(jù)傳輸

17、，支持廣播Web訪問APIWinInet/WinHTTP/ API.NetBIOSNetBIOS(網(wǎng)絡(luò)根本輸入/輸出系統(tǒng))：最初由IBM開發(fā)，MS利用NetBIOS作為構(gòu)建局域網(wǎng)的上層協(xié)議NetBIOS使得程序和網(wǎng)絡(luò)之間有了規(guī)范的接口，方便運(yùn)用程序的開發(fā)。并且可以移植到其他的網(wǎng)絡(luò)中NetBIOS位于OSI模型會話層，TCP/IP之上NetBIOS有兩種通訊方式會話方式。一對一進(jìn)展通訊，LAN中的機(jī)器之間建立會話，可以傳輸較多的信息，并且可以檢查傳輸錯誤數(shù)據(jù)報方式?？梢赃M(jìn)展廣播或者一對多的通訊，傳輸數(shù)據(jù)大小受限制，沒有錯誤檢查機(jī)制，也不用建立通訊會話NetBIOS over TCP/IP，支持三

18、種效力名字效力UDP 會話效力TCP /445數(shù)據(jù)報效力UDP .MSRPC遠(yuǎn)程進(jìn)程調(diào)用/DCOMRPC (Remote Procedure Call)網(wǎng)絡(luò)編程規(guī)范目的: 提供“能在某種程度上像運(yùn)用程序開發(fā)人員隱藏有關(guān)網(wǎng)絡(luò)編程細(xì)節(jié)的編程模型RPC調(diào)用允許程序員編寫的客戶運(yùn)用程序跨網(wǎng)絡(luò)調(diào)用遠(yuǎn)程計算機(jī)上效力器運(yùn)用程序中的過程COM/DCOMCOM對象: 使運(yùn)用程序由不同組件構(gòu)成，導(dǎo)出面向?qū)ο蠼涌?，提高軟件模塊化、可擴(kuò)展性和可交互性。DCOM: 提供COM組件的位置透明性，依賴于RPCKnow More: 潘愛民著，.WinSock APIWinSock: Windows套接字Winsock 1.0

19、: Microsoft的BSD套接字實現(xiàn)Winsock 2.2: 支持面向銜接/無銜接通訊，異步I/O，更好性能和伸縮性面向銜接的Winsock操作WinSock編程.常用的Windows運(yùn)用層網(wǎng)絡(luò)效力Network ApplicationsIIS (Internet Information Services)/FTP/Exchange ServerDatabaseMS SQL ServerRDPRemote Desktop Protocol通常以Windows效力方式后臺運(yùn)轉(zhuǎn).Windows效力Windows效力系統(tǒng)啟動時辰啟動進(jìn)程的機(jī)制，提供不依賴于任何交互式的效力。Windows效力效力

20、運(yùn)用程序注冊效力Advapi32.dll, CreateService/StartServices注冊表: HKLMSYSTEMCurrentControlSetServices共享效力進(jìn)程: 效力宿主svchost.exe效力控制管理器(SCM, service control manager, services.exe)Winlogon進(jìn)程在加載GINA之前執(zhí)行SCM啟動函數(shù)SCM中的ScCreateServiceDB根據(jù)注冊表分別啟動效力SCM中的ScAutoStartServices啟動“自動啟動的效力效力控制程序(SCP, service control program)控制面板，效

21、力插件.Windows效力控制面板.為何需了解Windows內(nèi)部機(jī)制？Windows運(yùn)用編程開發(fā)熟習(xí)掌握Windows操作系統(tǒng)向上層運(yùn)用提供的API根本了解所涉及的Windows組件的內(nèi)部實現(xiàn)原理Windows內(nèi)核編程開發(fā)深化了解涉及的Windows組件內(nèi)部實現(xiàn)機(jī)制掌握在內(nèi)核中直接支配Windows對象的技術(shù)方法針對Windows平臺的攻擊針對Windows惡意代碼、攻擊的監(jiān)控與防護(hù).Rootkit檢測技術(shù)總體流程圖.檢測技術(shù)分析活動線程檢測隱藏機(jī)制：鉤子，DKOM內(nèi)核線程調(diào)度機(jī)制：SwapContext()函數(shù)活動線程檢測：線程構(gòu)造.檢測技術(shù)分析進(jìn)程、驅(qū)動檢測隱藏機(jī)制：鉤子，DKOM內(nèi)核對象

22、概念內(nèi)核對象構(gòu)造進(jìn)程、驅(qū)動檢測：基于內(nèi)核對象特征的虛擬內(nèi)存搜索方法.檢測技術(shù)分析網(wǎng)絡(luò)端口檢測隱藏機(jī)制：鉤子驅(qū)動會話機(jī)制基于驅(qū)動會話的隱藏端口檢測方法.檢測技術(shù)分析文件系統(tǒng)隱藏檢測隱藏機(jī)制：鉤子或文件系統(tǒng)過濾NTFS與MFT表FAT32與FAT表文件系統(tǒng)隱藏檢測：基于磁盤扇區(qū)直接讀寫的隱藏文件搜索方法.檢測技術(shù)分析注冊表、系統(tǒng)效力、啟動項隱藏機(jī)制：鉤子Hook)Hive構(gòu)造：struct hive；Dump注冊表文件基于Hive構(gòu)造的二進(jìn)制文件分析方法獲得底層視圖.提綱Windows操作系統(tǒng)簡介Windows NT 5.x的系統(tǒng)構(gòu)造Windows NT 5.x的網(wǎng)絡(luò)構(gòu)造Windows NT 5.

23、x的平安構(gòu)造.Windows平安性設(shè)計目的一致的、強(qiáng)壯的、基于對象的平安模型滿足商業(yè)用戶的平安需求, 到達(dá)CC評價規(guī)范EAL4AAA: 身份驗證、授權(quán)、審計一臺機(jī)器上多個用戶之間平安地共享資源進(jìn)程，內(nèi)存，設(shè)備，文件，網(wǎng)絡(luò)平安模型效力器管理和維護(hù)各種對象客戶經(jīng)過效力器訪問對象效力器扮演客戶，訪問對象訪問的結(jié)果前往給效力器攻擊者目的在擁有最高權(quán)限的用戶帳戶環(huán)境中執(zhí)行命令。.Windows NT 5.x平安體系構(gòu)造.SRM-平安援用監(jiān)控器SRM (Security Reference Monitor)平安援用監(jiān)控器Windows資源寶庫的看門人位置: Windows執(zhí)行體Ntoskrnl.exe上層

24、內(nèi)核方式，擔(dān)任對運(yùn)轉(zhuǎn)在用戶方式代碼的各種資源存取懇求進(jìn)展檢查.Subject 平安主體Windows NT 5.x的平安主體用戶(users)和用戶帳戶(accounts)用戶組(groups)計算機(jī)(computers)Account Identifier: Security identifier(SID)平安標(biāo)識符時間和空間獨一的平安主體帳戶標(biāo)識48位數(shù)值: S-1-N-Y1-Y2-Y3-Y4Some well-known SIDs: Administrator Y4(RID)=500.用戶帳戶用戶帳戶操作系統(tǒng)運(yùn)轉(zhuǎn)程序代碼的執(zhí)行環(huán)境帳戶權(quán)限限制該用戶帳戶內(nèi)運(yùn)轉(zhuǎn)程序?qū)ο到y(tǒng)資源對象的訪問Win

25、dows內(nèi)建帳戶本地Administrator帳戶: 最高權(quán)限SYSTEM/LocalSystem: 技術(shù)角度最高權(quán)限，自動運(yùn)轉(zhuǎn)程序所運(yùn)用的運(yùn)轉(zhuǎn)環(huán)境Guest帳戶: 相對極少的權(quán)限IUSR_machinename: IIS匿名網(wǎng)絡(luò)訪問帳戶, Guest組IWAM_machinename: IIS運(yùn)用程序運(yùn)轉(zhuǎn)帳戶黑客眼里的Windows帳戶本地Administrator和SYSTEM帳戶擁有最高權(quán)限，是終極目的.用戶組用戶組簡化用戶管理引入的用戶帳戶容器將用戶帳戶添參與特定用戶組，該用戶即擁有用戶組配置的全部權(quán)限Windows內(nèi)建用戶組Administrators: 本地最高權(quán)限用戶組Accou

26、nt/Backup/Server/Print Operators: 略低于AdministratorsNetwork/Local Service: 用于包容效力帳戶，替代原先用于啟動效力的SYSTEM帳戶Users: 一切用戶帳戶Windows域中的內(nèi)建用戶組Domain Admins: 域中最高權(quán)限Enterprise Admins: 森林中最高權(quán)限組.帳戶口令管理-SAM和活動目錄本地帳戶和口令信息-保管在SAM中SAM: Security Accounts Manager加密口令字存儲: 不可逆Hash后存儲SAM位置: 運(yùn)轉(zhuǎn)時辰不能直接讀取文件系統(tǒng): %systemroot%syste

27、m32configsam注冊表: HKEY_LOCAL_MACHINESAM域帳戶和口令信息-保管在域控制器的活動目錄AD中AD: Active DirectoryAD位置: %systemroot%ntdsntds.dit加密格式與單機(jī)平臺一致，但訪問方法不同SYSKEY機(jī)制-128位隨鑰加密維護(hù)機(jī)制.對象-Object對象-系統(tǒng)中一切需維護(hù)的資源文件、目錄、注冊表鍵內(nèi)核對象同步對象私有對象(如打印機(jī)等)管道、內(nèi)存、通訊，等對象的平安描畫符SD(Security Descriptor)Owner SIDGroup SIDsDiscretionary ACL (授權(quán))Audit: System

28、 ACL (審計).DACL.AAAAuthentication身份驗證Authorization 授權(quán)(訪問控制)Auditing 審計.Authentication-身份驗證身份驗證操作系統(tǒng)經(jīng)過一些信息認(rèn)證平安主體真實合法的身份信息: 口令、指紋身份驗證方式本地身份驗證: 本地系統(tǒng)登錄Ctrl-Alt-Del網(wǎng)絡(luò)身份驗證: 遠(yuǎn)程訪問.令牌令牌保管一份與登錄帳戶有關(guān)的平安主體SID列表帳戶本身SID、所屬用戶組的SID等進(jìn)程的訪問令牌(Security Access Token)承繼啟動進(jìn)程的用戶帳戶所擁有的令牌是對一個進(jìn)程平安環(huán)境的完好描畫包括以下主要信息用戶帳戶的SID一切包含該用戶的平

29、安組的SIDs特權(quán)：該用戶和用戶組所擁有的權(quán)益OwnerDefault Discretionary Access Control List (DACL).Whoami.身份驗證-winlogon/GINA/LSASSWinlogon(winlogon.exe)呼應(yīng)Ctrl-Alt-Del(SAS: Secure Attention Sequence)處置交互式登錄和身份驗證GINA (gina.dll)Graphical Identification and Authentication顯示登錄窗口，提取用戶信息，移送給LSALSASS (lsass.exe)保管并執(zhí)行本地平安戰(zhàn)略提供身份驗證效力支持可擴(kuò)展的SSP和APs.網(wǎng)絡(luò)身份驗證-netlogon質(zhì)詢/應(yīng)對方式網(wǎng)絡(luò)身份驗證方式LANMan(win9x)MSV1_0NTLM(NT4SP3, NT5.x)NTLMv2(NT4SP4,