深入底层 评估Vista内核模式的安全性

核心提示：Windows Vista与之前的MS Windows版本(包括Windows XP SP2)相比增加了很多的安全性，Vista新安全性的特征可以包括以下几个方面：驱动签名路径保护内核模式代码完整性检查可选择支持使用TPM芯片的安全启动限制用户模式访问DevicePhysicalMemory上述的这些功能使得Vista

Windows Vista与之前的MS Windows版本(包括Windows XP SP2)相比增加了很多的安全性。Vista新安全性的特征可以包括以下几个方面：

驱动签名

路径保护

内核模式代码完整性检查

可选择支持使用TPM芯片的安全启动

限制用户模式访问DevicePhysicalMemory

上述的这些功能使得Vista64位版本与Linux或MacOS相比更具备安全性。该文档的主要贡献在：通过拟向工程较全面的分析内核模式的安全组件以及评估可能存在的内核模式攻击。

该文档检查新的安全特性，通过这些安全特性来阻止恶意代码危及内核。由于这些特性都仅存在于64位的Windows Vista系统内，因此该文档的关注点在Vista64位版本。

该文档没有分析PatchGuard的执行，针对PatchGuard的分析在前期已经有Skape和Skywing[6]进行了较全面的分析，值得注意的是PatchGuard发展到目前已经有所改变(在skape与skywing分析完后)。仅当下面章节对PatchGuard进行攻击评估时才会讨论这些问题。针对Vista用户模式的安全性评估在前面已经有所讨论[7]。

由于无法访问Windows Vista的源代码，我们通过debugger(调试器)、disassembler(反编译)、hex editor(16进制编辑器，例如UE)学习了Windows Vista Community Technical Preview (CTP) Build 5365版本。如果读者不熟悉X86体系架构和汇编语言的知识，推荐大家一本不错的关于X86汇编语言的在线图书[8]。另外，在看该文档前你需要熟悉一些Windows系统架构的知识，推荐大家阅读[9]，该书讲解了Windows系统架构的知识，同时这本书的一些知识同样可以应用到Vista系统上。在该文档公布时Vista系统还在测试阶段，但Vista在后来版本的安全性方面又做了一些改动。我们希望Vista在最终的发布版本上有更多的改变，同时我们也计划继续对未来的Vista版本的内核改动进行研究。