做自己的救世主－－系统安全保卫战

核心提示： 官方对系统服务的定义如下：在NT架构系统中，服务是指执行指定系统功能的程序、例程或进程，做自己的救世主－－系统安全保卫战(9)，以便支持其他程序，尤其是底层(接近硬件)程序，一部分持有编写Ring 0程序能力的人并没有加入Ring 0木马的阵营，而是把技术用到了安全检查方面，通过网络提供服

官方对系统服务的定义如下：

在NT架构系统中，服务是指执行指定系统功能的程序、例程或进程，以便支持其他程序，尤其是底层(接近硬件)程序。通过网络提供服务时，服务可以在Active Directory中发布，从而促进了以服务为中心的管理和使用。服务是一种应用程序类型，它在后台运行。服务应用程序通常可以在本地和通过网络为用户提供一些功能，例如客户端/服务器应用程序、Web服务器、数据库服务器以及其他基于服务器的应用程序。 既然服务自身也是独立出来的程序，它就必须有一个加载的入口，我们可以把这个入口理解为第二个启动项，这个入口是由SCM负责的，无论是什么身份的用户进入系统，SCM启动服务的位置都固定在注册表的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices分支里，所以只要找这个分支就可以发现所有服务——也许你会说，这里显示的名字似乎都毫无意义，我怎么知道哪个是我正在找的？其实很简单，我们回到SCM，查看一个服务的属性，例如“DNS Client”服务，它的属性里写着“显示名称：DNS Client 服务名称：Dnscache”，现在回到注册表分支，查找“Dnscache”，就会看到它是CurrentControlSet ServicesDnscache，这就是我们在SCM里看到的“DNS Client”服务，如果你删除掉“Dnscache”项目，那么整个“DNS Client”服务也就消失了。以此类推，很快就可以清理掉服务欺骗型后门。

4.最艰难的寻找：Ring 0后门

随着安全技术的发展和计算机用户群的技术提高，一般的木马后门越来越难生存，于是一部分有能力的后门作者把眼光投向了系统底层——Ring 0。位于Ring 0层的是系统核心模块和各种驱动程序模块，所以位于这一层的木马也是以驱动的形式生存的，而不是一般的EXE。后门作者把后门写成符合WDM规范（Windows Driver Model）的驱动程序模块，把自身添加进注册表的驱动程序加载入口，便实现了“无启动项”运行。一般的进程查看器都只能枚举可执行文件EXE的信息，所以通过驱动模块和执行文件结合的后门程序便得以生存下来，由于它运行在Ring 0级别，拥有与系统核心同等级的权限，因此它可以更轻易的把自己隐藏起来，无论是进程信息还是文件体，甚至通讯的端口和流量也能被隐藏起来，在如此强大的隐藏技术面前，无论是任务管理器还是系统配置实用程序，甚至系统自带的注册表工具都失去了效果，我们不得不借助于更强大的第三方工具。幸好，一部分持有编写Ring 0程序能力的人并没有加入Ring 0木马的阵营，而是把技术用到了安全检查方面，于是我们有了IceSword、RootkitRevealer、knlsc等优秀的检测工具。