網(wǎng)絡(luò)信息對(duì)抗Windows安全攻防

1、網(wǎng)絡(luò)信息對(duì)抗主講人：張 瑜:bullzhangyu126:344248003.網(wǎng)絡(luò)信息對(duì)抗第五章：Windows平安攻防.提綱Windows操作系統(tǒng)簡(jiǎn)介Windows NT 5.x的系統(tǒng)構(gòu)造Windows NT 5.x的網(wǎng)絡(luò)構(gòu)造Windows NT 5.x的平安構(gòu)造.BMWBreak My Windows.桌面操作系統(tǒng)市場(chǎng)份額marketshare.hitslink 數(shù)據(jù).桌面操作系統(tǒng)市場(chǎng)份額.桌面操作系統(tǒng)市場(chǎng)份額.Windows開展歷程桌面(客戶端)操作系統(tǒng)1990: Windows 3.x1995-1999: Windows 95, 98, ME(4.x)2000: Windows 200

2、0 Pro(5.0.x)2001: Windows XP(5.1.x)2007: Windows Vista(6.0.x)2021: Windows 7(6.1.x)2021：Windows 8 6.42021：Windows 10 10效力器操作系統(tǒng)1993: Windows NT (3.x, 4.x)2000: Windows 2000 Server(5.0.x)2003: Windows Server 2003 (5.2.x)2021: Windows Server 2021 (6.x)2021：Windows Server 2021.Windows 82021年9月14日，Window

3、s 8開發(fā)者預(yù)覽版發(fā)布。兼容挪動(dòng)終端，微軟將蘋果的IOS、谷歌的Android視為Windows 8在挪動(dòng)領(lǐng)域的主要競(jìng)爭(zhēng)對(duì)手。2021年10月，微軟發(fā)布Windows 8 正式版，可在平板電腦上運(yùn)用。.Windows 8界面.Windows 10Windows 10手機(jī)預(yù)覽版在2月正式發(fā)布；Windows 10零售版正式發(fā)布時(shí)間：2021年夏季，將涵蓋PC、平板電腦、手機(jī)、XBOX和效力器端，芯片類型將涵蓋x86和ARM。.Windows 10界面.Windows 10界面.提綱Windows操作系統(tǒng)簡(jiǎn)介Windows NT 5.x的系統(tǒng)構(gòu)造Windows NT 5.x的網(wǎng)絡(luò)構(gòu)造Windows

4、 NT 5.x的平安構(gòu)造.引薦書籍深化解析Windows操作系統(tǒng)(第四版)Windows Server 2003/Windows XP/Windows 2000技術(shù)內(nèi)幕作者M(jìn)ark E. RussinovichsysinternalsDavid A. Solomon譯者潘愛民研討員MSRA英文版電子書.Windows Kernel和軟件資源Windows Academic ProgramWindows Research Kernel (WRK)Subset of Windows kernel source codeFor more information, see microsoft/educ

5、ation/facultyconnection/articles/articledetails.aspx?cid=2416&c1=en-us&c2=0.Windows操作系統(tǒng)根本構(gòu)造Windows操作系統(tǒng)根本模型內(nèi)核方式：內(nèi)核代碼運(yùn)轉(zhuǎn)在處置器特權(quán)方式(ring 0)用戶方式：運(yùn)用程序代碼運(yùn)轉(zhuǎn)在處置器非特權(quán)方式(ring 3).Windows操作系統(tǒng)根本構(gòu)造.Windows系統(tǒng)中心構(gòu)造和組件系統(tǒng)進(jìn)程Idle/System/smss/winlogon/lsass/servicesWindows環(huán)境子系統(tǒng)內(nèi)核:win32k.sys用戶:csrss.exe子系統(tǒng)DLL: Kernel32/Advapi

6、32/User32/Gdi32Ntdll.dll用戶方式/內(nèi)核方式GWWindows執(zhí)行體Ntoskrnl.exe上層內(nèi)核Ntoskrnl.exe中函數(shù)和硬件體系構(gòu)造支持硬件籠統(tǒng)層hal.dll設(shè)備驅(qū)動(dòng)程序.Windows系統(tǒng)中心構(gòu)造和組件.Windows系統(tǒng)的啟動(dòng)機(jī)制Boot Loader PhaseNTLDR休眠方式恢復(fù): 系統(tǒng)盤hiberfil.sysboot.inimulti(0)disk(0)rdisk(0)partition(2)WINDOWS=Microsoft Windows XP Professional /fastdetect Kernel Loading Phase裝載K

7、ernel: ntoskrnl.exe/hal.dll/kdcom.dll/bootvid.dll裝載系統(tǒng)盤.Windows系統(tǒng)的啟動(dòng)機(jī)制Session Manager內(nèi)核進(jìn)程啟動(dòng)Session Manager Subsystem(smss.exe)創(chuàng)建環(huán)境變量啟動(dòng)Win32子系統(tǒng)(win32k.sys)啟動(dòng)Win32子系統(tǒng)用戶方式組件(csrss.exe)創(chuàng)建虛擬內(nèi)存映射啟動(dòng)Winlogon登錄界面(winlogon.exe).Windows系統(tǒng)的啟動(dòng)機(jī)制Winlogon調(diào)用GINA登錄界面處置，獲得用戶credentialsWinlogon將credentials傳送給LSA(Local

8、Security Authority)LSA確定登錄帳號(hào)對(duì)應(yīng)的帳號(hào)數(shù)據(jù)庫(Local SAM, Domain SAM, Active Directory)，并credentials能否可登錄Logon phase啟動(dòng)Service Control Manager(SCM, service.exe)，啟動(dòng)設(shè)置為“自動(dòng)啟動(dòng)的效力啟動(dòng)LSASS(Local Security Authority Subsystem Service, lsass.exe)，執(zhí)行本地平安戰(zhàn)略和組戰(zhàn)略啟動(dòng)設(shè)置為“開機(jī)自動(dòng)啟動(dòng)的運(yùn)用程序.“開機(jī)自啟運(yùn)用程序位置HKLMSOFTWAREMicrosoftWindowsCurre

9、ntVersionRunOnce HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun HKCUSoftwareMicrosoftWindows NTCurrentVersionWindowsRun HKCUSoftwareMicrosoftWindowsCurrentVersionRun HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce .“開機(jī)自啟運(yùn)用程序位置All Users P

10、rofilePathStart MenuProgramsStartup(please note that this path is localized on non-English versions of Windows) Current User ProfilePathStart MenuProgramsStartup(please note that this path is localized on non-English versions of Windows) “開機(jī)自啟是惡意程序期望的目的！太多了？！找工具幫他的忙Autoruns360平安衛(wèi)士.Autoruns.360平安衛(wèi)生.W

11、indows文件系統(tǒng)FAT (File Allocation Table文件分配表)1980: FAT12 1987: FAT16 1995: FAT32文件目錄表：Table; 文件分配表：Linked List平安性弱，正在被NTFS取代NTFS (NT File System)1990s: M$/IBM joint project, 從OS/2文件系統(tǒng)HPFS承繼NTFS v3.x for Windows NT 5.x, 較FAT更具平安性(ACL)，更好的性能、可靠性和磁盤利用效率基于訪問控制列表機(jī)制保證文件讀寫平安性支持恣意UTF-16命名，運(yùn)用B+樹進(jìn)展索引，Metadata保管文

12、件相關(guān)各種數(shù)據(jù)，保管在Meta File Table(MFT).PE文件格式.Windows的進(jìn)程和線程管理Windows下的進(jìn)程和線程可執(zhí)行程序: 靜態(tài)指令序列進(jìn)程：一個(gè)容器，包含至少一個(gè)執(zhí)行線程線程：進(jìn)程內(nèi)部的指令執(zhí)行實(shí)體Windows進(jìn)程構(gòu)成元素私有虛擬內(nèi)存地址空間映射至進(jìn)程內(nèi)存空間的可執(zhí)行程序資源句柄列表訪問令牌(Security Access Token)進(jìn)程ID，父進(jìn)程ID至少一個(gè)執(zhí)行線程Windows線程包含根本部件(context)處置器形狀CPU存放器內(nèi)容兩個(gè)棧(內(nèi)核方式、用戶方式)線程部分存儲(chǔ)區(qū)(TLS)，共享進(jìn)程虛擬地址空間和資源列表線程ID.執(zhí)行體進(jìn)程塊(EPROCES

13、S/KPROCESS/PEB).執(zhí)行體線程塊(ETHREAD/KTHREAD/TEB).Windows的內(nèi)存管理系統(tǒng)中心內(nèi)存區(qū)間0 xFFFFFFFF0 x80000000 (4G2G)映射內(nèi)核、HAL、Win32k.sys子系統(tǒng)等內(nèi)核態(tài)可支配(DKOM)用戶內(nèi)存區(qū)間0 x000000000 x80000000 (2G0G)堆: 動(dòng)態(tài)分配變量(malloc), 向高地址增長(zhǎng)靜態(tài)內(nèi)存區(qū)間: 全局變量、靜態(tài)變量代碼區(qū)間: 從0 x00400000開場(chǎng)棧: 向低地址增長(zhǎng)單線程進(jìn)程：(棧底地址: 0 x0012FFXXXX)每個(gè)線程對(duì)應(yīng)一個(gè)用戶態(tài)的棧和堆Windows Memory layout.Wi

14、ndows的內(nèi)存管理.程序裝載和運(yùn)轉(zhuǎn).Windows系統(tǒng)API調(diào)用過程.API Hooking機(jī)制API Hooing: 對(duì)API調(diào)用過程進(jìn)展Hook(掛鉤), 改動(dòng)API調(diào)用流程以到達(dá)某種目的的技術(shù)方法。API Hooking目的隱藏本身存在: 惡意代碼, Rootkit平安監(jiān)控和加強(qiáng): 防病毒軟件, 平安監(jiān)控和分析: Sandbox, API Hooking技術(shù)手段用戶層API Hooking: Proxy DLL, IAT Patching, Code overwriting, Debugger內(nèi)核層API Hooking: SSDT hook, IDT Hook, Sysenter h

15、ook, IRP hook混合方式API Hooking: 結(jié)合兩者，有些內(nèi)核API沒有很好的文檔支持.Windows系統(tǒng)的注冊(cè)表Windows系統(tǒng)注冊(cè)表Windows配置和控制方面關(guān)鍵角色系統(tǒng)全局配置的存儲(chǔ)倉庫每個(gè)用戶配置信息的存儲(chǔ)倉庫注冊(cè)表查找編輯工具Regedit.exe注冊(cè)表的讀寫讀取: 系統(tǒng)引導(dǎo)過程, 系統(tǒng)登錄過程, 運(yùn)用程序啟動(dòng)過程修正: 缺省安裝, 運(yùn)用程序安裝, 設(shè)備驅(qū)動(dòng)安裝, 修正運(yùn)用程序配置注冊(cè)表在文件系統(tǒng)上的存儲(chǔ)(Hive)HKLMSYSTEMCurrentControlSetControlhivelist注冊(cè)表監(jiān)視工具RegMon注冊(cè)表自動(dòng)啟動(dòng)可擴(kuò)展點(diǎn)ASEP點(diǎn)-aut

16、orun經(jīng)常被惡意代碼/攻擊者利用.提綱Windows操作系統(tǒng)簡(jiǎn)介Windows NT 5.x的系統(tǒng)構(gòu)造Windows NT 5.x的網(wǎng)絡(luò)構(gòu)造Windows NT 5.x的平安構(gòu)造.Windows NT5.x中的網(wǎng)絡(luò)構(gòu)造.Windows NT5.x中的網(wǎng)絡(luò)構(gòu)造.Windows Networking APINetBIOS網(wǎng)絡(luò)根本輸入/輸出系統(tǒng)Windows獨(dú)有的局域網(wǎng)組網(wǎng)協(xié)議RPC 遠(yuǎn)過程調(diào)用PRC/DCOMWinSock API命名管道(Named Pipes)和郵件槽(Mail Slots)命名管道：提供可靠雙向通訊，協(xié)議無關(guān)的標(biāo)識(shí)Windows網(wǎng)絡(luò)資源的方法郵件槽：提供不可靠的單向數(shù)據(jù)傳輸

17、，支持廣播Web訪問APIWinInet/WinHTTP/ API.NetBIOSNetBIOS(網(wǎng)絡(luò)根本輸入/輸出系統(tǒng))：最初由IBM開發(fā)，MS利用NetBIOS作為構(gòu)建局域網(wǎng)的上層協(xié)議NetBIOS使得程序和網(wǎng)絡(luò)之間有了規(guī)范的接口，方便運(yùn)用程序的開發(fā)。并且可以移植到其他的網(wǎng)絡(luò)中NetBIOS位于OSI模型會(huì)話層，TCP/IP之上NetBIOS有兩種通訊方式會(huì)話方式。一對(duì)一進(jìn)展通訊，LAN中的機(jī)器之間建立會(huì)話，可以傳輸較多的信息，并且可以檢查傳輸錯(cuò)誤數(shù)據(jù)報(bào)方式?？梢赃M(jìn)展廣播或者一對(duì)多的通訊，傳輸數(shù)據(jù)大小受限制，沒有錯(cuò)誤檢查機(jī)制，也不用建立通訊會(huì)話NetBIOS over TCP/IP，支持三

18、種效力名字效力UDP 會(huì)話效力TCP /445數(shù)據(jù)報(bào)效力UDP .MSRPC遠(yuǎn)程進(jìn)程調(diào)用/DCOMRPC (Remote Procedure Call)網(wǎng)絡(luò)編程規(guī)范目的: 提供“能在某種程度上像運(yùn)用程序開發(fā)人員隱藏有關(guān)網(wǎng)絡(luò)編程細(xì)節(jié)的編程模型RPC調(diào)用允許程序員編寫的客戶運(yùn)用程序跨網(wǎng)絡(luò)調(diào)用遠(yuǎn)程計(jì)算機(jī)上效力器運(yùn)用程序中的過程COM/DCOMCOM對(duì)象: 使運(yùn)用程序由不同組件構(gòu)成，導(dǎo)出面向?qū)ο蠼涌?，提高軟件模塊化、可擴(kuò)展性和可交互性。DCOM: 提供COM組件的位置透明性，依賴于RPCKnow More: 潘愛民著，.WinSock APIWinSock: Windows套接字Winsock 1.0

19、: Microsoft的BSD套接字實(shí)現(xiàn)Winsock 2.2: 支持面向銜接/無銜接通訊，異步I/O，更好性能和伸縮性面向銜接的Winsock操作WinSock編程.常用的Windows運(yùn)用層網(wǎng)絡(luò)效力Network ApplicationsIIS (Internet Information Services)/FTP/Exchange ServerDatabaseMS SQL ServerRDPRemote Desktop Protocol通常以Windows效力方式后臺(tái)運(yùn)轉(zhuǎn).Windows效力Windows效力系統(tǒng)啟動(dòng)時(shí)辰啟動(dòng)進(jìn)程的機(jī)制，提供不依賴于任何交互式的效力。Windows效力效力

20、運(yùn)用程序注冊(cè)效力Advapi32.dll, CreateService/StartServices注冊(cè)表: HKLMSYSTEMCurrentControlSetServices共享效力進(jìn)程: 效力宿主svchost.exe效力控制管理器(SCM, service control manager, services.exe)Winlogon進(jìn)程在加載GINA之前執(zhí)行SCM啟動(dòng)函數(shù)SCM中的ScCreateServiceDB根據(jù)注冊(cè)表分別啟動(dòng)效力SCM中的ScAutoStartServices啟動(dòng)“自動(dòng)啟動(dòng)的效力效力控制程序(SCP, service control program)控制面板，效

21、力插件.Windows效力控制面板.為何需了解Windows內(nèi)部機(jī)制？Windows運(yùn)用編程開發(fā)熟習(xí)掌握Windows操作系統(tǒng)向上層運(yùn)用提供的API根本了解所涉及的Windows組件的內(nèi)部實(shí)現(xiàn)原理Windows內(nèi)核編程開發(fā)深化了解涉及的Windows組件內(nèi)部實(shí)現(xiàn)機(jī)制掌握在內(nèi)核中直接支配Windows對(duì)象的技術(shù)方法針對(duì)Windows平臺(tái)的攻擊針對(duì)Windows惡意代碼、攻擊的監(jiān)控與防護(hù).Rootkit檢測(cè)技術(shù)總體流程圖.檢測(cè)技術(shù)分析活動(dòng)線程檢測(cè)隱藏機(jī)制：鉤子，DKOM內(nèi)核線程調(diào)度機(jī)制：SwapContext()函數(shù)活動(dòng)線程檢測(cè)：線程構(gòu)造.檢測(cè)技術(shù)分析進(jìn)程、驅(qū)動(dòng)檢測(cè)隱藏機(jī)制：鉤子，DKOM內(nèi)核對(duì)象

22、概念內(nèi)核對(duì)象構(gòu)造進(jìn)程、驅(qū)動(dòng)檢測(cè)：基于內(nèi)核對(duì)象特征的虛擬內(nèi)存搜索方法.檢測(cè)技術(shù)分析網(wǎng)絡(luò)端口檢測(cè)隱藏機(jī)制：鉤子驅(qū)動(dòng)會(huì)話機(jī)制基于驅(qū)動(dòng)會(huì)話的隱藏端口檢測(cè)方法.檢測(cè)技術(shù)分析文件系統(tǒng)隱藏檢測(cè)隱藏機(jī)制：鉤子或文件系統(tǒng)過濾NTFS與MFT表FAT32與FAT表文件系統(tǒng)隱藏檢測(cè)：基于磁盤扇區(qū)直接讀寫的隱藏文件搜索方法.檢測(cè)技術(shù)分析注冊(cè)表、系統(tǒng)效力、啟動(dòng)項(xiàng)隱藏機(jī)制：鉤子Hook)Hive構(gòu)造：struct hive；Dump注冊(cè)表文件基于Hive構(gòu)造的二進(jìn)制文件分析方法獲得底層視圖.提綱Windows操作系統(tǒng)簡(jiǎn)介Windows NT 5.x的系統(tǒng)構(gòu)造Windows NT 5.x的網(wǎng)絡(luò)構(gòu)造Windows NT 5.

23、x的平安構(gòu)造.Windows平安性設(shè)計(jì)目的一致的、強(qiáng)壯的、基于對(duì)象的平安模型滿足商業(yè)用戶的平安需求, 到達(dá)CC評(píng)價(jià)規(guī)范EAL4AAA: 身份驗(yàn)證、授權(quán)、審計(jì)一臺(tái)機(jī)器上多個(gè)用戶之間平安地共享資源進(jìn)程，內(nèi)存，設(shè)備，文件，網(wǎng)絡(luò)平安模型效力器管理和維護(hù)各種對(duì)象客戶經(jīng)過效力器訪問對(duì)象效力器扮演客戶，訪問對(duì)象訪問的結(jié)果前往給效力器攻擊者目的在擁有最高權(quán)限的用戶帳戶環(huán)境中執(zhí)行命令。.Windows NT 5.x平安體系構(gòu)造.SRM-平安援用監(jiān)控器SRM (Security Reference Monitor)平安援用監(jiān)控器Windows資源寶庫的看門人位置: Windows執(zhí)行體Ntoskrnl.exe上層

24、內(nèi)核方式，擔(dān)任對(duì)運(yùn)轉(zhuǎn)在用戶方式代碼的各種資源存取懇求進(jìn)展檢查.Subject 平安主體Windows NT 5.x的平安主體用戶(users)和用戶帳戶(accounts)用戶組(groups)計(jì)算機(jī)(computers)Account Identifier: Security identifier(SID)平安標(biāo)識(shí)符時(shí)間和空間獨(dú)一的平安主體帳戶標(biāo)識(shí)48位數(shù)值: S-1-N-Y1-Y2-Y3-Y4Some well-known SIDs: Administrator Y4(RID)=500.用戶帳戶用戶帳戶操作系統(tǒng)運(yùn)轉(zhuǎn)程序代碼的執(zhí)行環(huán)境帳戶權(quán)限限制該用戶帳戶內(nèi)運(yùn)轉(zhuǎn)程序?qū)ο到y(tǒng)資源對(duì)象的訪問Win

25、dows內(nèi)建帳戶本地Administrator帳戶: 最高權(quán)限SYSTEM/LocalSystem: 技術(shù)角度最高權(quán)限，自動(dòng)運(yùn)轉(zhuǎn)程序所運(yùn)用的運(yùn)轉(zhuǎn)環(huán)境Guest帳戶: 相對(duì)極少的權(quán)限IUSR_machinename: IIS匿名網(wǎng)絡(luò)訪問帳戶, Guest組IWAM_machinename: IIS運(yùn)用程序運(yùn)轉(zhuǎn)帳戶黑客眼里的Windows帳戶本地Administrator和SYSTEM帳戶擁有最高權(quán)限，是終極目的.用戶組用戶組簡(jiǎn)化用戶管理引入的用戶帳戶容器將用戶帳戶添參與特定用戶組，該用戶即擁有用戶組配置的全部權(quán)限Windows內(nèi)建用戶組Administrators: 本地最高權(quán)限用戶組Accou

26、nt/Backup/Server/Print Operators: 略低于AdministratorsNetwork/Local Service: 用于包容效力帳戶，替代原先用于啟動(dòng)效力的SYSTEM帳戶Users: 一切用戶帳戶Windows域中的內(nèi)建用戶組Domain Admins: 域中最高權(quán)限Enterprise Admins: 森林中最高權(quán)限組.帳戶口令管理-SAM和活動(dòng)目錄本地帳戶和口令信息-保管在SAM中SAM: Security Accounts Manager加密口令字存儲(chǔ): 不可逆Hash后存儲(chǔ)SAM位置: 運(yùn)轉(zhuǎn)時(shí)辰不能直接讀取文件系統(tǒng): %systemroot%syste

27、m32configsam注冊(cè)表: HKEY_LOCAL_MACHINESAM域帳戶和口令信息-保管在域控制器的活動(dòng)目錄AD中AD: Active DirectoryAD位置: %systemroot%ntdsntds.dit加密格式與單機(jī)平臺(tái)一致，但訪問方法不同SYSKEY機(jī)制-128位隨鑰加密維護(hù)機(jī)制.對(duì)象-Object對(duì)象-系統(tǒng)中一切需維護(hù)的資源文件、目錄、注冊(cè)表鍵內(nèi)核對(duì)象同步對(duì)象私有對(duì)象(如打印機(jī)等)管道、內(nèi)存、通訊，等對(duì)象的平安描畫符SD(Security Descriptor)Owner SIDGroup SIDsDiscretionary ACL (授權(quán))Audit: System

28、 ACL (審計(jì)).DACL.AAAAuthentication身份驗(yàn)證Authorization 授權(quán)(訪問控制)Auditing 審計(jì).Authentication-身份驗(yàn)證身份驗(yàn)證操作系統(tǒng)經(jīng)過一些信息認(rèn)證平安主體真實(shí)合法的身份信息: 口令、指紋身份驗(yàn)證方式本地身份驗(yàn)證: 本地系統(tǒng)登錄Ctrl-Alt-Del網(wǎng)絡(luò)身份驗(yàn)證: 遠(yuǎn)程訪問.令牌令牌保管一份與登錄帳戶有關(guān)的平安主體SID列表帳戶本身SID、所屬用戶組的SID等進(jìn)程的訪問令牌(Security Access Token)承繼啟動(dòng)進(jìn)程的用戶帳戶所擁有的令牌是對(duì)一個(gè)進(jìn)程平安環(huán)境的完好描畫包括以下主要信息用戶帳戶的SID一切包含該用戶的平

29、安組的SIDs特權(quán)：該用戶和用戶組所擁有的權(quán)益OwnerDefault Discretionary Access Control List (DACL).Whoami.身份驗(yàn)證-winlogon/GINA/LSASSWinlogon(winlogon.exe)呼應(yīng)Ctrl-Alt-Del(SAS: Secure Attention Sequence)處置交互式登錄和身份驗(yàn)證GINA (gina.dll)Graphical Identification and Authentication顯示登錄窗口，提取用戶信息，移送給LSALSASS (lsass.exe)保管并執(zhí)行本地平安戰(zhàn)略提供身份驗(yàn)證效力支持可擴(kuò)展的SSP和APs.網(wǎng)絡(luò)身份驗(yàn)證-netlogon質(zhì)詢/應(yīng)對(duì)方式網(wǎng)絡(luò)身份驗(yàn)證方式LANMan(win9x)MSV1_0NTLM(NT4SP3, NT5.x)NTLMv2(NT4SP4,