o HKLM\SOFTWARE\Microsoft\Windows\Current Version\Run
o HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
o HKCU\Software\Microsoft\Windows\CurrentVe rsion\Run
网络信息对抗第五章Windows安全攻 防
Windows 10界面
网络信息对抗第五章Windows安全攻 防
Windows 10界面
网络信息对抗第五章Windows安全攻 防
提纲
o Windows操作系统简介 o Windows NT 5.x的系统结构 o Windows NT 5.x的网络结构 o Windows NT 5.x的安全结构
网络信息对抗第五章Windows安全攻 防
Windows 8
o 2011年9月14日，Windows 8开发者预 览版发布。
o 兼容移动终端，微软将苹果的IOS、谷歌的 Android视为Windows 8在移动领域的 主要竞争对手。
o 2012年10月，微软发布Windows 8 正 式版，可在平板电脑上使用。
执行体线程块 (ETHREAD/KTHREAD/TEB)
网络信息对抗第五章Windows安全攻 防
Windows的内存管理
o 系统核心内存区间 n 0xFFFFFFFF~0x80000000 (4G~2G) n 映射内核、HAL、Win32k.sys子系统等 n 内核态可操纵(DKOM)
o 用户内存区间 n 0x00000000~0x80000000 (2G~0G) n 堆: 动态分配变量(malloc), 向高地址增长 n 静态内存区间: 全局变量、静态变量 n 代码区间: 从0x00400000开始 n 栈: 向低地址增长
o 译者
n 潘爱民研究员@MSRA
o 英文版电子书
网络信息对抗第五章Windows安全攻 防
Windows Kernel和软件资源
o Windows Academic Program
n Windows Research Kernel (WRK) n Subset of Windows kernel source
网络信息对抗第五章 Windows安全攻防
2020/12/13
网络信息对抗第五章Windows安全攻 防
网络信息对抗
第五章：Windows安全攻防
网络信息对抗第五章Windows安全攻 防
提纲
o Windows操作系统简介 o Windows NT 5.x的系统结构 o Windows NT 5.x的网络结构 o Windows NT 5.x的安全结构
o Current User ProfilePath\Start Menu\Programs\Startup\(please note that this path is localized on nonEnglish versions of Windows)
o “开机自启”是恶意程序期望的目标！ o 太多了？！找工具帮你的忙
Windows系统的启动机制
o Boot Loader Phase n NTLDR n 休眠模式恢复: 系统盘hiberfil.sys n boot.ini n multi(0)disk(0)rdisk(0)partition(2)\WI NDOWS="Microsoft Windows XP Professional" /fastdetect
o Ntdll.dll n 用户模式/内核模式GW
o Windows执行体 n Ntoskrnl.exe上层
o 内核 n Ntoskrnl.exe中函数和硬件体系结构支持
o 硬件抽象层hal.dll o 设备驱动程序
网络信息对抗第五章Windows安全攻 防
Windows系统核心结构和组件
网络信息对抗第五章Windows安全攻 防
o Windows线程包含基本部件(context)
n 处理器状态CPU寄存器内容 n 两个栈(内核模式、用户模式) n 线程局部存储区(TLS)，共享进程虚拟地址空间和资源列表 n 线程ID
网络信息对抗第五章Windows安全攻 防
执行体进程块 (EPROCESS/KPROCESS/PEB)
网络信息对抗第五章Windows安全攻 防
网络信息对抗第五章Windows安全攻 防
“开机自启”应用程序位置
o HKLM\SOFTWARE\Microsoft\Windows\Current Version\RunOnce
o HKLM\SOFTWARE\Microsoft\Windows\Current Version\policies\Explorer\Run
桌面操作系统市场份额
网络信息对抗第五章Windows安全攻 防
Windows发展历程
o 桌面(客户端)操作系统
n 1990: Windows 3.x n 1995-1999: Windows 95, 98, ME(4.x) n 2000: Windows 2000 Pro(5.0.x) n 2001: Windows XP(5.1.x) n 2007: Windows Vista(6.0.x) n 2009: Windows 7(6.1.x) n 2012：Windows 8 （6.4） n 2015：Windows 10 （10）
Windows系统核心结构和组件
o 系统进程 n Idle/System/smss/winlogon/lsass/services
o Windows环境子系统 n 内核:win32k.sys n 用户:csrss.exe n 子系统DLL: Kernel32/Advapi32/User32/Gdi32
Windows操作系统基本结构
Windows操作系统基本模型
内核模式：内核代码运行在处理器特 权模式(ring 0)
用户模式：应用程序代码运行在处理 器非特权模式(ring 3)
网络信息对抗第五章Windows安全攻 防
Windows操作系统基本结构
网络信息对抗第五章Windows安全攻 防
网络信息对抗第五章Windows安全攻 防
Байду номын сангаас
Windows 8界面
网络信息对抗第五章Windows安全攻 防
Windows 10
o Windows 10手机预览版在2月正式发布； o Windows 10零售版正式发布时间：
2015年夏季，将涵盖PC、平板电脑、手 机、XBOX和服务器端，芯片类型将涵盖 x86和ARM。
o 单线程进程：(栈底地址: 0x0012FFXXXX)
n 每个线程对应一个用户态的栈和堆 o Windows Memory layout
网络信息对抗第五章Windows安全攻 防
code n For more information, see
/educatio n/facultyconnection/articles/article details.aspx?cid=2416&c1=enus&c2=0
网络信息对抗第五章Windows安全攻 防
o 服务器操作系统
n 1993: Windows NT (3.x, 4.x) n 2000: Windows 2000 Server(5.0.x) n 2003: Windows Server 2003 (5.2.x) n 2008: Windows Server 2008 (6.x) n 2012：Windows Server 2012
o Kernel Loading Phase n 装载Kernel: ntoskrnl.exe/hal.dll/kdcom.dll/bootvid. dll n 装载系统盘
网络信息对抗第五章Windows安全攻 防
Windows系统的启动机制
o Session Manager
n 内核进程启动Session Manager Subsystem(smss.exe)
网络信息对抗第五章Windows安全攻 防
PE文件格式
网络信息对抗第五章Windows安全攻 防
Windows的进程和线程管理
o Windows下的进程和线程
n 可执行程序: 静态指令序列 n 进程：一个容器，包含至少一个执行线程 n 线程：进程内部的指令执行实体
o Windows进程构成元素
n 私有虚拟内存地址空间 n 映射至进程内存空间的可执行程序 n 资源句柄列表 n 访问令牌(Security Access Token) n 进程ID，父进程ID n 至少一个执行线程
o NTFS (NT File System) n 1990s: M$/IBM joint project, 从OS/2文件系统 HPFS继承 n NTFS v3.x for Windows NT 5.x, 较FAT更具安全性 (ACL)，更好的性能、可靠性和磁盘利用效率 n 基于访问控制列表机制保证文件读写安全性 n 支持任意UTF-16命名，使用B+树进行索引，… n Metadata保存文件相关各种数据，保存在Meta File Table(MFT)
网络信息对抗第五章Windows安全攻 防
推荐书籍
o 深入解析Windows操作系统(第四版)
n Windows Server 2003/Windows XP/Windows 2000技术内幕
o 作者
n Mark E. Russinovich o sysinternals
n David A. Solomon
网络信息对抗第五章Windows安全攻 防
BMW＝Break My Windows
网络信息对抗第五章Windows安全攻 防