網(wǎng)絡信息對抗Windows安全攻防

1、網(wǎng)絡信息對抗主講人：張 瑜:bullzhangyu126:344248003.網(wǎng)絡信息對抗第五章：Windows平安攻防.提綱Windows操作系統(tǒng)簡介Windows NT 5.x的系統(tǒng)構造Windows NT 5.x的網(wǎng)絡構造Windows NT 5.x的平安構造.BMWBreak My Windows.桌面操作系統(tǒng)市場份額marketshare.hitslink 數(shù)據(jù).桌面操作系統(tǒng)市場份額.桌面操作系統(tǒng)市場份額.Windows開展歷程桌面(客戶端)操作系統(tǒng)1990: Windows 3.x1995-1999: Windows 95, 98, ME(4.x)2000: Windows 200

2、0 Pro(5.0.x)2001: Windows XP(5.1.x)2007: Windows Vista(6.0.x)2021: Windows 7(6.1.x)2021：Windows 8 6.42021：Windows 10 10效力器操作系統(tǒng)1993: Windows NT (3.x, 4.x)2000: Windows 2000 Server(5.0.x)2003: Windows Server 2003 (5.2.x)2021: Windows Server 2021 (6.x)2021：Windows Server 2021.Windows 82021年9月14日，Window

3、s 8開發(fā)者預覽版發(fā)布。兼容挪動終端，微軟將蘋果的IOS、谷歌的Android視為Windows 8在挪動領域的主要競爭對手。2021年10月，微軟發(fā)布Windows 8 正式版，可在平板電腦上運用。.Windows 8界面.Windows 10Windows 10手機預覽版在2月正式發(fā)布；Windows 10零售版正式發(fā)布時間：2021年夏季，將涵蓋PC、平板電腦、手機、XBOX和效力器端，芯片類型將涵蓋x86和ARM。.Windows 10界面.Windows 10界面.提綱Windows操作系統(tǒng)簡介Windows NT 5.x的系統(tǒng)構造Windows NT 5.x的網(wǎng)絡構造Windows

4、 NT 5.x的平安構造.引薦書籍深化解析Windows操作系統(tǒng)(第四版)Windows Server 2003/Windows XP/Windows 2000技術內幕作者Mark E. RussinovichsysinternalsDavid A. Solomon譯者潘愛民研討員MSRA英文版電子書.Windows Kernel和軟件資源Windows Academic ProgramWindows Research Kernel (WRK)Subset of Windows kernel source codeFor more information, see microsoft/educ

5、ation/facultyconnection/articles/articledetails.aspx?cid=2416&c1=en-us&c2=0.Windows操作系統(tǒng)根本構造Windows操作系統(tǒng)根本模型內核方式：內核代碼運轉在處置器特權方式(ring 0)用戶方式：運用程序代碼運轉在處置器非特權方式(ring 3).Windows操作系統(tǒng)根本構造.Windows系統(tǒng)中心構造和組件系統(tǒng)進程Idle/System/smss/winlogon/lsass/servicesWindows環(huán)境子系統(tǒng)內核:win32k.sys用戶:csrss.exe子系統(tǒng)DLL: Kernel32/Advapi

6、32/User32/Gdi32Ntdll.dll用戶方式/內核方式GWWindows執(zhí)行體Ntoskrnl.exe上層內核Ntoskrnl.exe中函數(shù)和硬件體系構造支持硬件籠統(tǒng)層hal.dll設備驅動程序.Windows系統(tǒng)中心構造和組件.Windows系統(tǒng)的啟動機制Boot Loader PhaseNTLDR休眠方式恢復: 系統(tǒng)盤hiberfil.sysboot.inimulti(0)disk(0)rdisk(0)partition(2)WINDOWS=Microsoft Windows XP Professional /fastdetect Kernel Loading Phase裝載K

7、ernel: ntoskrnl.exe/hal.dll/kdcom.dll/bootvid.dll裝載系統(tǒng)盤.Windows系統(tǒng)的啟動機制Session Manager內核進程啟動Session Manager Subsystem(smss.exe)創(chuàng)建環(huán)境變量啟動Win32子系統(tǒng)(win32k.sys)啟動Win32子系統(tǒng)用戶方式組件(csrss.exe)創(chuàng)建虛擬內存映射啟動Winlogon登錄界面(winlogon.exe).Windows系統(tǒng)的啟動機制Winlogon調用GINA登錄界面處置，獲得用戶credentialsWinlogon將credentials傳送給LSA(Local

8、Security Authority)LSA確定登錄帳號對應的帳號數(shù)據(jù)庫(Local SAM, Domain SAM, Active Directory)，并credentials能否可登錄Logon phase啟動Service Control Manager(SCM, service.exe)，啟動設置為“自動啟動的效力啟動LSASS(Local Security Authority Subsystem Service, lsass.exe)，執(zhí)行本地平安戰(zhàn)略和組戰(zhàn)略啟動設置為“開機自動啟動的運用程序.“開機自啟運用程序位置HKLMSOFTWAREMicrosoftWindowsCurre

9、ntVersionRunOnce HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun HKCUSoftwareMicrosoftWindows NTCurrentVersionWindowsRun HKCUSoftwareMicrosoftWindowsCurrentVersionRun HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce .“開機自啟運用程序位置All Users P

10、rofilePathStart MenuProgramsStartup(please note that this path is localized on non-English versions of Windows) Current User ProfilePathStart MenuProgramsStartup(please note that this path is localized on non-English versions of Windows) “開機自啟是惡意程序期望的目的！太多了？！找工具幫他的忙Autoruns360平安衛(wèi)士.Autoruns.360平安衛(wèi)生.W

11、indows文件系統(tǒng)FAT (File Allocation Table文件分配表)1980: FAT12 1987: FAT16 1995: FAT32文件目錄表：Table; 文件分配表：Linked List平安性弱，正在被NTFS取代NTFS (NT File System)1990s: M$/IBM joint project, 從OS/2文件系統(tǒng)HPFS承繼NTFS v3.x for Windows NT 5.x, 較FAT更具平安性(ACL)，更好的性能、可靠性和磁盤利用效率基于訪問控制列表機制保證文件讀寫平安性支持恣意UTF-16命名，運用B+樹進展索引，Metadata保管文

12、件相關各種數(shù)據(jù)，保管在Meta File Table(MFT).PE文件格式.Windows的進程和線程管理Windows下的進程和線程可執(zhí)行程序: 靜態(tài)指令序列進程：一個容器，包含至少一個執(zhí)行線程線程：進程內部的指令執(zhí)行實體Windows進程構成元素私有虛擬內存地址空間映射至進程內存空間的可執(zhí)行程序資源句柄列表訪問令牌(Security Access Token)進程ID，父進程ID至少一個執(zhí)行線程Windows線程包含根本部件(context)處置器形狀CPU存放器內容兩個棧(內核方式、用戶方式)線程部分存儲區(qū)(TLS)，共享進程虛擬地址空間和資源列表線程ID.執(zhí)行體進程塊(EPROCES

13、S/KPROCESS/PEB).執(zhí)行體線程塊(ETHREAD/KTHREAD/TEB).Windows的內存管理系統(tǒng)中心內存區(qū)間0 xFFFFFFFF0 x80000000 (4G2G)映射內核、HAL、Win32k.sys子系統(tǒng)等內核態(tài)可支配(DKOM)用戶內存區(qū)間0 x000000000 x80000000 (2G0G)堆: 動態(tài)分配變量(malloc), 向高地址增長靜態(tài)內存區(qū)間: 全局變量、靜態(tài)變量代碼區(qū)間: 從0 x00400000開場棧: 向低地址增長單線程進程：(棧底地址: 0 x0012FFXXXX)每個線程對應一個用戶態(tài)的棧和堆Windows Memory layout.Wi

14、ndows的內存管理.程序裝載和運轉.Windows系統(tǒng)API調用過程.API Hooking機制API Hooing: 對API調用過程進展Hook(掛鉤), 改動API調用流程以到達某種目的的技術方法。API Hooking目的隱藏本身存在: 惡意代碼, Rootkit平安監(jiān)控和加強: 防病毒軟件, 平安監(jiān)控和分析: Sandbox, API Hooking技術手段用戶層API Hooking: Proxy DLL, IAT Patching, Code overwriting, Debugger內核層API Hooking: SSDT hook, IDT Hook, Sysenter h

15、ook, IRP hook混合方式API Hooking: 結合兩者，有些內核API沒有很好的文檔支持.Windows系統(tǒng)的注冊表Windows系統(tǒng)注冊表Windows配置和控制方面關鍵角色系統(tǒng)全局配置的存儲倉庫每個用戶配置信息的存儲倉庫注冊表查找編輯工具Regedit.exe注冊表的讀寫讀取: 系統(tǒng)引導過程, 系統(tǒng)登錄過程, 運用程序啟動過程修正: 缺省安裝, 運用程序安裝, 設備驅動安裝, 修正運用程序配置注冊表在文件系統(tǒng)上的存儲(Hive)HKLMSYSTEMCurrentControlSetControlhivelist注冊表監(jiān)視工具RegMon注冊表自動啟動可擴展點ASEP點-aut

16、orun經(jīng)常被惡意代碼/攻擊者利用.提綱Windows操作系統(tǒng)簡介Windows NT 5.x的系統(tǒng)構造Windows NT 5.x的網(wǎng)絡構造Windows NT 5.x的平安構造.Windows NT5.x中的網(wǎng)絡構造.Windows NT5.x中的網(wǎng)絡構造.Windows Networking APINetBIOS網(wǎng)絡根本輸入/輸出系統(tǒng)Windows獨有的局域網(wǎng)組網(wǎng)協(xié)議RPC 遠過程調用PRC/DCOMWinSock API命名管道(Named Pipes)和郵件槽(Mail Slots)命名管道：提供可靠雙向通訊，協(xié)議無關的標識Windows網(wǎng)絡資源的方法郵件槽：提供不可靠的單向數(shù)據(jù)傳輸

17、，支持廣播Web訪問APIWinInet/WinHTTP/ API.NetBIOSNetBIOS(網(wǎng)絡根本輸入/輸出系統(tǒng))：最初由IBM開發(fā)，MS利用NetBIOS作為構建局域網(wǎng)的上層協(xié)議NetBIOS使得程序和網(wǎng)絡之間有了規(guī)范的接口，方便運用程序的開發(fā)。并且可以移植到其他的網(wǎng)絡中NetBIOS位于OSI模型會話層，TCP/IP之上NetBIOS有兩種通訊方式會話方式。一對一進展通訊，LAN中的機器之間建立會話，可以傳輸較多的信息，并且可以檢查傳輸錯誤數(shù)據(jù)報方式。可以進展廣播或者一對多的通訊，傳輸數(shù)據(jù)大小受限制，沒有錯誤檢查機制，也不用建立通訊會話NetBIOS over TCP/IP，支持三

18、種效力名字效力UDP 會話效力TCP /445數(shù)據(jù)報效力UDP .MSRPC遠程進程調用/DCOMRPC (Remote Procedure Call)網(wǎng)絡編程規(guī)范目的: 提供“能在某種程度上像運用程序開發(fā)人員隱藏有關網(wǎng)絡編程細節(jié)的編程模型RPC調用允許程序員編寫的客戶運用程序跨網(wǎng)絡調用遠程計算機上效力器運用程序中的過程COM/DCOMCOM對象: 使運用程序由不同組件構成，導出面向對象接口，提高軟件模塊化、可擴展性和可交互性。DCOM: 提供COM組件的位置透明性，依賴于RPCKnow More: 潘愛民著，.WinSock APIWinSock: Windows套接字Winsock 1.0

19、: Microsoft的BSD套接字實現(xiàn)Winsock 2.2: 支持面向銜接/無銜接通訊，異步I/O，更好性能和伸縮性面向銜接的Winsock操作WinSock編程.常用的Windows運用層網(wǎng)絡效力Network ApplicationsIIS (Internet Information Services)/FTP/Exchange ServerDatabaseMS SQL ServerRDPRemote Desktop Protocol通常以Windows效力方式后臺運轉.Windows效力Windows效力系統(tǒng)啟動時辰啟動進程的機制，提供不依賴于任何交互式的效力。Windows效力效力

20、運用程序注冊效力Advapi32.dll, CreateService/StartServices注冊表: HKLMSYSTEMCurrentControlSetServices共享效力進程: 效力宿主svchost.exe效力控制管理器(SCM, service control manager, services.exe)Winlogon進程在加載GINA之前執(zhí)行SCM啟動函數(shù)SCM中的ScCreateServiceDB根據(jù)注冊表分別啟動效力SCM中的ScAutoStartServices啟動“自動啟動的效力效力控制程序(SCP, service control program)控制面板，效

21、力插件.Windows效力控制面板.為何需了解Windows內部機制？Windows運用編程開發(fā)熟習掌握Windows操作系統(tǒng)向上層運用提供的API根本了解所涉及的Windows組件的內部實現(xiàn)原理Windows內核編程開發(fā)深化了解涉及的Windows組件內部實現(xiàn)機制掌握在內核中直接支配Windows對象的技術方法針對Windows平臺的攻擊針對Windows惡意代碼、攻擊的監(jiān)控與防護.Rootkit檢測技術總體流程圖.檢測技術分析活動線程檢測隱藏機制：鉤子，DKOM內核線程調度機制：SwapContext()函數(shù)活動線程檢測：線程構造.檢測技術分析進程、驅動檢測隱藏機制：鉤子，DKOM內核對象

22、概念內核對象構造進程、驅動檢測：基于內核對象特征的虛擬內存搜索方法.檢測技術分析網(wǎng)絡端口檢測隱藏機制：鉤子驅動會話機制基于驅動會話的隱藏端口檢測方法.檢測技術分析文件系統(tǒng)隱藏檢測隱藏機制：鉤子或文件系統(tǒng)過濾NTFS與MFT表FAT32與FAT表文件系統(tǒng)隱藏檢測：基于磁盤扇區(qū)直接讀寫的隱藏文件搜索方法.檢測技術分析注冊表、系統(tǒng)效力、啟動項隱藏機制：鉤子Hook)Hive構造：struct hive；Dump注冊表文件基于Hive構造的二進制文件分析方法獲得底層視圖.提綱Windows操作系統(tǒng)簡介Windows NT 5.x的系統(tǒng)構造Windows NT 5.x的網(wǎng)絡構造Windows NT 5.

23、x的平安構造.Windows平安性設計目的一致的、強壯的、基于對象的平安模型滿足商業(yè)用戶的平安需求, 到達CC評價規(guī)范EAL4AAA: 身份驗證、授權、審計一臺機器上多個用戶之間平安地共享資源進程，內存，設備，文件，網(wǎng)絡平安模型效力器管理和維護各種對象客戶經(jīng)過效力器訪問對象效力器扮演客戶，訪問對象訪問的結果前往給效力器攻擊者目的在擁有最高權限的用戶帳戶環(huán)境中執(zhí)行命令。.Windows NT 5.x平安體系構造.SRM-平安援用監(jiān)控器SRM (Security Reference Monitor)平安援用監(jiān)控器Windows資源寶庫的看門人位置: Windows執(zhí)行體Ntoskrnl.exe上層

24、內核方式，擔任對運轉在用戶方式代碼的各種資源存取懇求進展檢查.Subject 平安主體Windows NT 5.x的平安主體用戶(users)和用戶帳戶(accounts)用戶組(groups)計算機(computers)Account Identifier: Security identifier(SID)平安標識符時間和空間獨一的平安主體帳戶標識48位數(shù)值: S-1-N-Y1-Y2-Y3-Y4Some well-known SIDs: Administrator Y4(RID)=500.用戶帳戶用戶帳戶操作系統(tǒng)運轉程序代碼的執(zhí)行環(huán)境帳戶權限限制該用戶帳戶內運轉程序對系統(tǒng)資源對象的訪問Win

25、dows內建帳戶本地Administrator帳戶: 最高權限SYSTEM/LocalSystem: 技術角度最高權限，自動運轉程序所運用的運轉環(huán)境Guest帳戶: 相對極少的權限IUSR_machinename: IIS匿名網(wǎng)絡訪問帳戶, Guest組IWAM_machinename: IIS運用程序運轉帳戶黑客眼里的Windows帳戶本地Administrator和SYSTEM帳戶擁有最高權限，是終極目的.用戶組用戶組簡化用戶管理引入的用戶帳戶容器將用戶帳戶添參與特定用戶組，該用戶即擁有用戶組配置的全部權限Windows內建用戶組Administrators: 本地最高權限用戶組Accou

26、nt/Backup/Server/Print Operators: 略低于AdministratorsNetwork/Local Service: 用于包容效力帳戶，替代原先用于啟動效力的SYSTEM帳戶Users: 一切用戶帳戶Windows域中的內建用戶組Domain Admins: 域中最高權限Enterprise Admins: 森林中最高權限組.帳戶口令管理-SAM和活動目錄本地帳戶和口令信息-保管在SAM中SAM: Security Accounts Manager加密口令字存儲: 不可逆Hash后存儲SAM位置: 運轉時辰不能直接讀取文件系統(tǒng): %systemroot%syste

27、m32configsam注冊表: HKEY_LOCAL_MACHINESAM域帳戶和口令信息-保管在域控制器的活動目錄AD中AD: Active DirectoryAD位置: %systemroot%ntdsntds.dit加密格式與單機平臺一致，但訪問方法不同SYSKEY機制-128位隨鑰加密維護機制.對象-Object對象-系統(tǒng)中一切需維護的資源文件、目錄、注冊表鍵內核對象同步對象私有對象(如打印機等)管道、內存、通訊，等對象的平安描畫符SD(Security Descriptor)Owner SIDGroup SIDsDiscretionary ACL (授權)Audit: System

28、 ACL (審計).DACL.AAAAuthentication身份驗證Authorization 授權(訪問控制)Auditing 審計.Authentication-身份驗證身份驗證操作系統(tǒng)經(jīng)過一些信息認證平安主體真實合法的身份信息: 口令、指紋身份驗證方式本地身份驗證: 本地系統(tǒng)登錄Ctrl-Alt-Del網(wǎng)絡身份驗證: 遠程訪問.令牌令牌保管一份與登錄帳戶有關的平安主體SID列表帳戶本身SID、所屬用戶組的SID等進程的訪問令牌(Security Access Token)承繼啟動進程的用戶帳戶所擁有的令牌是對一個進程平安環(huán)境的完好描畫包括以下主要信息用戶帳戶的SID一切包含該用戶的平

29、安組的SIDs特權：該用戶和用戶組所擁有的權益OwnerDefault Discretionary Access Control List (DACL).Whoami.身份驗證-winlogon/GINA/LSASSWinlogon(winlogon.exe)呼應Ctrl-Alt-Del(SAS: Secure Attention Sequence)處置交互式登錄和身份驗證GINA (gina.dll)Graphical Identification and Authentication顯示登錄窗口，提取用戶信息，移送給LSALSASS (lsass.exe)保管并執(zhí)行本地平安戰(zhàn)略提供身份驗證效力支持可擴展的SSP和APs.網(wǎng)絡身份驗證-netlogon質詢/應對方式網(wǎng)絡身份驗證方式LANMan(win9x)MSV1_0NTLM(NT4SP3, NT5.x)NTLMv2(NT4SP4,