网络信息对抗Windows安全攻防

1、网络信息对抗主讲人：张 瑜:bullzhangyu126:344248003.网络信息对抗第五章：Windows平安攻防.提纲Windows操作系统简介Windows NT 5.x的系统构造Windows NT 5.x的网络构造Windows NT 5.x的平安构造.BMWBreak My Windows.桌面操作系统市场份额marketshare.hitslink 数据.桌面操作系统市场份额.桌面操作系统市场份额.Windows开展历程桌面(客户端)操作系统1990: Windows 3.x1995-1999: Windows 95, 98, ME(4.x)2000: Windows 200

2、0 Pro(5.0.x)2001: Windows XP(5.1.x)2007: Windows Vista(6.0.x)2021: Windows 7(6.1.x)2021：Windows 8 6.42021：Windows 10 10效力器操作系统1993: Windows NT (3.x, 4.x)2000: Windows 2000 Server(5.0.x)2003: Windows Server 2003 (5.2.x)2021: Windows Server 2021 (6.x)2021：Windows Server 2021.Windows 82021年9月14日，Window

3、s 8开发者预览版发布。兼容挪动终端，微软将苹果的IOS、谷歌的Android视为Windows 8在挪动领域的主要竞争对手。2021年10月，微软发布Windows 8 正式版，可在平板电脑上运用。.Windows 8界面.Windows 10Windows 10手机预览版在2月正式发布；Windows 10零售版正式发布时间：2021年夏季，将涵盖PC、平板电脑、手机、XBOX和效力器端，芯片类型将涵盖x86和ARM。.Windows 10界面.Windows 10界面.提纲Windows操作系统简介Windows NT 5.x的系统构造Windows NT 5.x的网络构造Windows

4、 NT 5.x的平安构造.引荐书籍深化解析Windows操作系统(第四版)Windows Server 2003/Windows XP/Windows 2000技术内幕作者Mark E. RussinovichsysinternalsDavid A. Solomon译者潘爱民研讨员MSRA英文版电子书.Windows Kernel和软件资源Windows Academic ProgramWindows Research Kernel (WRK)Subset of Windows kernel source codeFor more information, see microsoft/educ

5、ation/facultyconnection/articles/articledetails.aspx?cid=2416&c1=en-us&c2=0.Windows操作系统根本构造Windows操作系统根本模型内核方式：内核代码运转在处置器特权方式(ring 0)用户方式：运用程序代码运转在处置器非特权方式(ring 3).Windows操作系统根本构造.Windows系统中心构造和组件系统进程Idle/System/smss/winlogon/lsass/servicesWindows环境子系统内核:win32k.sys用户:csrss.exe子系统DLL: Kernel32/Advapi

6、32/User32/Gdi32Ntdll.dll用户方式/内核方式GWWindows执行体Ntoskrnl.exe上层内核Ntoskrnl.exe中函数和硬件体系构造支持硬件笼统层hal.dll设备驱动程序.Windows系统中心构造和组件.Windows系统的启动机制Boot Loader PhaseNTLDR休眠方式恢复: 系统盘hiberfil.sysboot.inimulti(0)disk(0)rdisk(0)partition(2)WINDOWS=Microsoft Windows XP Professional /fastdetect Kernel Loading Phase装载K

7、ernel: ntoskrnl.exe/hal.dll/kdcom.dll/bootvid.dll装载系统盘.Windows系统的启动机制Session Manager内核进程启动Session Manager Subsystem(smss.exe)创建环境变量启动Win32子系统(win32k.sys)启动Win32子系统用户方式组件(csrss.exe)创建虚拟内存映射启动Winlogon登录界面(winlogon.exe).Windows系统的启动机制Winlogon调用GINA登录界面处置，获得用户credentialsWinlogon将credentials传送给LSA(Local

8、Security Authority)LSA确定登录帐号对应的帐号数据库(Local SAM, Domain SAM, Active Directory)，并credentials能否可登录Logon phase启动Service Control Manager(SCM, service.exe)，启动设置为“自动启动的效力启动LSASS(Local Security Authority Subsystem Service, lsass.exe)，执行本地平安战略和组战略启动设置为“开机自动启动的运用程序.“开机自启运用程序位置HKLMSOFTWAREMicrosoftWindowsCurre

9、ntVersionRunOnce HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun HKCUSoftwareMicrosoftWindows NTCurrentVersionWindowsRun HKCUSoftwareMicrosoftWindowsCurrentVersionRun HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce .“开机自启运用程序位置All Users P

10、rofilePathStart MenuProgramsStartup(please note that this path is localized on non-English versions of Windows) Current User ProfilePathStart MenuProgramsStartup(please note that this path is localized on non-English versions of Windows) “开机自启是恶意程序期望的目的！太多了？！找工具帮他的忙Autoruns360平安卫士.Autoruns.360平安卫生.W

11、indows文件系统FAT (File Allocation Table文件分配表)1980: FAT12 1987: FAT16 1995: FAT32文件目录表：Table; 文件分配表：Linked List平安性弱，正在被NTFS取代NTFS (NT File System)1990s: M$/IBM joint project, 从OS/2文件系统HPFS承继NTFS v3.x for Windows NT 5.x, 较FAT更具平安性(ACL)，更好的性能、可靠性和磁盘利用效率基于访问控制列表机制保证文件读写平安性支持恣意UTF-16命名，运用B+树进展索引，Metadata保管文

12、件相关各种数据，保管在Meta File Table(MFT).PE文件格式.Windows的进程和线程管理Windows下的进程和线程可执行程序: 静态指令序列进程：一个容器，包含至少一个执行线程线程：进程内部的指令执行实体Windows进程构成元素私有虚拟内存地址空间映射至进程内存空间的可执行程序资源句柄列表访问令牌(Security Access Token)进程ID，父进程ID至少一个执行线程Windows线程包含根本部件(context)处置器形状CPU存放器内容两个栈(内核方式、用户方式)线程部分存储区(TLS)，共享进程虚拟地址空间和资源列表线程ID.执行体进程块(EPROCES

13、S/KPROCESS/PEB).执行体线程块(ETHREAD/KTHREAD/TEB).Windows的内存管理系统中心内存区间0 xFFFFFFFF0 x80000000 (4G2G)映射内核、HAL、Win32k.sys子系统等内核态可支配(DKOM)用户内存区间0 x000000000 x80000000 (2G0G)堆: 动态分配变量(malloc), 向高地址增长静态内存区间: 全局变量、静态变量代码区间: 从0 x00400000开场栈: 向低地址增长单线程进程：(栈底地址: 0 x0012FFXXXX)每个线程对应一个用户态的栈和堆Windows Memory layout.Wi

14、ndows的内存管理.程序装载和运转.Windows系统API调用过程.API Hooking机制API Hooing: 对API调用过程进展Hook(挂钩), 改动API调用流程以到达某种目的的技术方法。API Hooking目的隐藏本身存在: 恶意代码, Rootkit平安监控和加强: 防病毒软件, 平安监控和分析: Sandbox, API Hooking技术手段用户层API Hooking: Proxy DLL, IAT Patching, Code overwriting, Debugger内核层API Hooking: SSDT hook, IDT Hook, Sysenter h

15、ook, IRP hook混合方式API Hooking: 结合两者，有些内核API没有很好的文档支持.Windows系统的注册表Windows系统注册表Windows配置和控制方面关键角色系统全局配置的存储仓库每个用户配置信息的存储仓库注册表查找编辑工具Regedit.exe注册表的读写读取: 系统引导过程, 系统登录过程, 运用程序启动过程修正: 缺省安装, 运用程序安装, 设备驱动安装, 修正运用程序配置注册表在文件系统上的存储(Hive)HKLMSYSTEMCurrentControlSetControlhivelist注册表监视工具RegMon注册表自动启动可扩展点ASEP点-aut

16、orun经常被恶意代码/攻击者利用.提纲Windows操作系统简介Windows NT 5.x的系统构造Windows NT 5.x的网络构造Windows NT 5.x的平安构造.Windows NT5.x中的网络构造.Windows NT5.x中的网络构造.Windows Networking APINetBIOS网络根本输入/输出系统Windows独有的局域网组网协议RPC 远过程调用PRC/DCOMWinSock API命名管道(Named Pipes)和邮件槽(Mail Slots)命名管道：提供可靠双向通讯，协议无关的标识Windows网络资源的方法邮件槽：提供不可靠的单向数据传输

17、，支持广播Web访问APIWinInet/WinHTTP/ API.NetBIOSNetBIOS(网络根本输入/输出系统)：最初由IBM开发，MS利用NetBIOS作为构建局域网的上层协议NetBIOS使得程序和网络之间有了规范的接口，方便运用程序的开发。并且可以移植到其他的网络中NetBIOS位于OSI模型会话层，TCP/IP之上NetBIOS有两种通讯方式会话方式。一对一进展通讯，LAN中的机器之间建立会话，可以传输较多的信息，并且可以检查传输错误数据报方式。可以进展广播或者一对多的通讯，传输数据大小受限制，没有错误检查机制，也不用建立通讯会话NetBIOS over TCP/IP，支持三

18、种效力名字效力UDP 会话效力TCP /445数据报效力UDP .MSRPC远程进程调用/DCOMRPC (Remote Procedure Call)网络编程规范目的: 提供“能在某种程度上像运用程序开发人员隐藏有关网络编程细节的编程模型RPC调用允许程序员编写的客户运用程序跨网络调用远程计算机上效力器运用程序中的过程COM/DCOMCOM对象: 使运用程序由不同组件构成，导出面向对象接口，提高软件模块化、可扩展性和可交互性。DCOM: 提供COM组件的位置透明性，依赖于RPCKnow More: 潘爱民著，.WinSock APIWinSock: Windows套接字Winsock 1.0

19、: Microsoft的BSD套接字实现Winsock 2.2: 支持面向衔接/无衔接通讯，异步I/O，更好性能和伸缩性面向衔接的Winsock操作WinSock编程.常用的Windows运用层网络效力Network ApplicationsIIS (Internet Information Services)/FTP/Exchange ServerDatabaseMS SQL ServerRDPRemote Desktop Protocol通常以Windows效力方式后台运转.Windows效力Windows效力系统启动时辰启动进程的机制，提供不依赖于任何交互式的效力。Windows效力效力

20、运用程序注册效力Advapi32.dll, CreateService/StartServices注册表: HKLMSYSTEMCurrentControlSetServices共享效力进程: 效力宿主svchost.exe效力控制管理器(SCM, service control manager, services.exe)Winlogon进程在加载GINA之前执行SCM启动函数SCM中的ScCreateServiceDB根据注册表分别启动效力SCM中的ScAutoStartServices启动“自动启动的效力效力控制程序(SCP, service control program)控制面板，效

21、力插件.Windows效力控制面板.为何需了解Windows内部机制？Windows运用编程开发熟习掌握Windows操作系统向上层运用提供的API根本了解所涉及的Windows组件的内部实现原理Windows内核编程开发深化了解涉及的Windows组件内部实现机制掌握在内核中直接支配Windows对象的技术方法针对Windows平台的攻击针对Windows恶意代码、攻击的监控与防护.Rootkit检测技术总体流程图.检测技术分析活动线程检测隐藏机制：钩子，DKOM内核线程调度机制：SwapContext()函数活动线程检测：线程构造.检测技术分析进程、驱动检测隐藏机制：钩子，DKOM内核对象

22、概念内核对象构造进程、驱动检测：基于内核对象特征的虚拟内存搜索方法.检测技术分析网络端口检测隐藏机制：钩子驱动会话机制基于驱动会话的隐藏端口检测方法.检测技术分析文件系统隐藏检测隐藏机制：钩子或文件系统过滤NTFS与MFT表FAT32与FAT表文件系统隐藏检测：基于磁盘扇区直接读写的隐藏文件搜索方法.检测技术分析注册表、系统效力、启动项隐藏机制：钩子Hook)Hive构造：struct hive；Dump注册表文件基于Hive构造的二进制文件分析方法获得底层视图.提纲Windows操作系统简介Windows NT 5.x的系统构造Windows NT 5.x的网络构造Windows NT 5.

23、x的平安构造.Windows平安性设计目的一致的、强壮的、基于对象的平安模型满足商业用户的平安需求, 到达CC评价规范EAL4AAA: 身份验证、授权、审计一台机器上多个用户之间平安地共享资源进程，内存，设备，文件，网络平安模型效力器管理和维护各种对象客户经过效力器访问对象效力器扮演客户，访问对象访问的结果前往给效力器攻击者目的在拥有最高权限的用户帐户环境中执行命令。.Windows NT 5.x平安体系构造.SRM-平安援用监控器SRM (Security Reference Monitor)平安援用监控器Windows资源宝库的看门人位置: Windows执行体Ntoskrnl.exe上层

24、内核方式，担任对运转在用户方式代码的各种资源存取恳求进展检查.Subject 平安主体Windows NT 5.x的平安主体用户(users)和用户帐户(accounts)用户组(groups)计算机(computers)Account Identifier: Security identifier(SID)平安标识符时间和空间独一的平安主体帐户标识48位数值: S-1-N-Y1-Y2-Y3-Y4Some well-known SIDs: Administrator Y4(RID)=500.用户帐户用户帐户操作系统运转程序代码的执行环境帐户权限限制该用户帐户内运转程序对系统资源对象的访问Win

25、dows内建帐户本地Administrator帐户: 最高权限SYSTEM/LocalSystem: 技术角度最高权限，自动运转程序所运用的运转环境Guest帐户: 相对极少的权限IUSR_machinename: IIS匿名网络访问帐户, Guest组IWAM_machinename: IIS运用程序运转帐户黑客眼里的Windows帐户本地Administrator和SYSTEM帐户拥有最高权限，是终极目的.用户组用户组简化用户管理引入的用户帐户容器将用户帐户添参与特定用户组，该用户即拥有用户组配置的全部权限Windows内建用户组Administrators: 本地最高权限用户组Accou

26、nt/Backup/Server/Print Operators: 略低于AdministratorsNetwork/Local Service: 用于包容效力帐户，替代原先用于启动效力的SYSTEM帐户Users: 一切用户帐户Windows域中的内建用户组Domain Admins: 域中最高权限Enterprise Admins: 森林中最高权限组.帐户口令管理-SAM和活动目录本地帐户和口令信息-保管在SAM中SAM: Security Accounts Manager加密口令字存储: 不可逆Hash后存储SAM位置: 运转时辰不能直接读取文件系统: %systemroot%syste

27、m32configsam注册表: HKEY_LOCAL_MACHINESAM域帐户和口令信息-保管在域控制器的活动目录AD中AD: Active DirectoryAD位置: %systemroot%ntdsntds.dit加密格式与单机平台一致，但访问方法不同SYSKEY机制-128位随钥加密维护机制.对象-Object对象-系统中一切需维护的资源文件、目录、注册表键内核对象同步对象私有对象(如打印机等)管道、内存、通讯，等对象的平安描画符SD(Security Descriptor)Owner SIDGroup SIDsDiscretionary ACL (授权)Audit: System

28、 ACL (审计).DACL.AAAAuthentication身份验证Authorization 授权(访问控制)Auditing 审计.Authentication-身份验证身份验证操作系统经过一些信息认证平安主体真实合法的身份信息: 口令、指纹身份验证方式本地身份验证: 本地系统登录Ctrl-Alt-Del网络身份验证: 远程访问.令牌令牌保管一份与登录帐户有关的平安主体SID列表帐户本身SID、所属用户组的SID等进程的访问令牌(Security Access Token)承继启动进程的用户帐户所拥有的令牌是对一个进程平安环境的完好描画包括以下主要信息用户帐户的SID一切包含该用户的平

29、安组的SIDs特权：该用户和用户组所拥有的权益OwnerDefault Discretionary Access Control List (DACL).Whoami.身份验证-winlogon/GINA/LSASSWinlogon(winlogon.exe)呼应Ctrl-Alt-Del(SAS: Secure Attention Sequence)处置交互式登录和身份验证GINA (gina.dll)Graphical Identification and Authentication显示登录窗口，提取用户信息，移送给LSALSASS (lsass.exe)保管并执行本地平安战略提供身份验证效力支持可扩展的SSP和APs.网络身份验证-netlogon质询/应对方式网络身份验证方式LANMan(win9x)MSV1_0NTLM(NT4SP3, NT5.x)NTLMv2(NT4SP4,