做自己的救世主－－系统安全保卫战

核心提示： 最后是“权限”，这里涉及的权限是指80386模式的Ring权限，做自己的救世主－－系统安全保卫战(6)，操作系统是由内核（Kernel）和外壳（Shell）两部分组成的，内核负责一切实际的工作，于是后门制造者开始攻克心理学和障眼法，让后门进程在任务管理器里把自己标榜

最后是“权限”，这里涉及的权限是指80386模式的Ring权限。操作系统是由内核（Kernel）和外壳（Shell）两部分组成的，内核负责一切实际的工作，包括CPU任务调度、内存分配管理、设备管理、文件操作等，外壳是基于内核提供的交互功能而存在的界面，它负责指令传递和解释。由于内核和外壳负责的任务不同，它们的处理环境也不同，因此处理器提供了多个不同的处理环境，把它们称为运行级别（Ring），Ring让程序指令能访问的计算机资源依次逐级递减，目的在于保护计算机遭受意外损害——内核运行于Ring 0级别，拥有最完全最底层的管理功能，而到了外壳部分，它只能拥有Ring 3级别，这个级别能操作的功能极少，几乎所有指令都需要传递给内核来决定能否执行，一旦发现有可能对系统造成破坏的指令传递（例如超越指定范围的内存读写），内核便返回一个“非法越权”标志，发送这个指令的程序就有可能被终止运行，这就是大部分常见的“非法操作”的由来，这样做的目的是为了保护计算机免遭破坏，如果外壳和内核的运行级别一样，用户一个不经意的点击都有可能破坏整个系统。但是现在，Ring已经屡屡被后门木马利用成为一个令人头痛的凶器。

2.进程伪装型后门的歼灭

最初的后门靠注册“系统服务”的方法在Win9x系统里隐藏自己的运行信息，到了NT架构里，这个方法失效了——NT家族自带的任务管理器（Task Manager,TaskMgr.exe）把所有普通进程都一视同仁的显示出来，连初级用户都能轻易发现后门运行的痕迹，于是后门制造者开始攻克心理学和障眼法，让后门进程在任务管理器里把自己标榜为“系统关键进程”，达到欺骗用户的目的。