WEB开发网
开发学院网络安全安全技术 做自己的救世主--系统安全保卫战 阅读

做自己的救世主--系统安全保卫战

 2007-06-26 13:05:32 来源:WEB开发网   
核心提示: 最后是“权限”,这里涉及的权限是指80386模式的Ring权限,做自己的救世主--系统安全保卫战(6),操作系统是由内核(Kernel)和外壳(Shell)两部分组成的,内核负责一切实际的工作,于是后门制造者开始攻克心理学和障眼法,让后门进程在任务管理器里把自己标榜

最后是“权限”,这里涉及的权限是指80386模式的Ring权限。操作系统是由内核(Kernel)和外壳(Shell)两部分组成的,内核负责一切实际的工作,包括CPU任务调度、内存分配管理、设备管理、文件操作等,外壳是基于内核提供的交互功能而存在的界面,它负责指令传递和解释。由于内核和外壳负责的任务不同,它们的处理环境也不同,因此处理器提供了多个不同的处理环境,把它们称为运行级别(Ring),Ring让程序指令能访问的计算机资源依次逐级递减,目的在于保护计算机遭受意外损害——内核运行于Ring 0级别,拥有最完全最底层的管理功能,而到了外壳部分,它只能拥有Ring 3级别,这个级别能操作的功能极少,几乎所有指令都需要传递给内核来决定能否执行,一旦发现有可能对系统造成破坏的指令传递(例如超越指定范围的内存读写),内核便返回一个“非法越权”标志,发送这个指令的程序就有可能被终止运行,这就是大部分常见的“非法操作”的由来,这样做的目的是为了保护计算机免遭破坏,如果外壳和内核的运行级别一样,用户一个不经意的点击都有可能破坏整个系统。但是现在,Ring已经屡屡被后门木马利用成为一个令人头痛的凶器。

2.进程伪装型后门的歼灭

最初的后门靠注册“系统服务”的方法在Win9x系统里隐藏自己的运行信息,到了NT架构里,这个方法失效了——NT家族自带的任务管理器(Task Manager,TaskMgr.exe)把所有普通进程都一视同仁的显示出来,连初级用户都能轻易发现后门运行的痕迹,于是后门制造者开始攻克心理学和障眼法,让后门进程在任务管理器里把自己标榜为“系统关键进程”,达到欺骗用户的目的。

上一页  1 2 3 4 5 6 7 8 9 10  下一页

Tags:自己 救世主

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接