Общая структура Windows XP и методы атак

 

1.3. Подсистемы и библиотеки

 

ОС Windows XP имеет две подсистемы среды (Win32 и POSIX1), которые работают только на платформе х86. Каждая из указанных подсистем обеспечивает пользовательским приложениям доступ к разным службам Windows XP.

Пользовательские процессы для вызова служб операционной системы используют библиотеки динамической связки (DLL) соответствующей подсистемы среды. Их задача заключается в транслировании документированных функций среды в соответствующие недокументированные функции служб ядра операционной системы. Например, библиотека DLL подсистемы Win32 использует функции Win32 API, библиотека системы POSIX, соответственно, функции POSIX 1003.1 API.

Главными компонентами подсистемы Win32 являются процессы подсистемы среды и драйвер режима ядра. Процесс подсистемы среды поддерживает:

• консольные (текстовые) окна;
• создание и удаление процессов и потоков;
• работу виртуальной 16-разрядной DOS-машины;
• прочие функции MS-DOS.

Драйвер режима поддерживает:

• менеджер окон, который управляет: отображением окон, выводом на экран, вводом с клавиатуры, от мыши и других устройств, передачей пользовательских сообщений приложениям;
• интерфейс графических устройств GDI (Graphics Device Interface) – библиотеку функций для вывода на графические устройства для рисования текста, линий, фигур и манипуляций графическими объектами;
• зависимые от устройств драйверы графики, принтера и видеокарты;
• несколько библиотек DLL, которые транслируют документированные функции Win32 API в соответствующие недокументированные вызовы Ntoskrnl.exe и Win32k.sys.

Приложения  вызывают стандартные функции для  создания окон и кнопок на дисплее. Менеджер окон передает эти запросы  драйверам графических устройств через интерфейс GDI, где они форматируются для вывода средствами конкретных устройств. GDI обеспечивает набор стандартных функций, позволяющих приложениям общаться с графическими устройствами (включая дисплеи и принтеры), без конкретных знаний о них. GDI интерпретирует запросы приложений на графический вывод и посылает их драйверам графических дисплеев. Этот интерфейс позволяет создать код приложения, независимый от конкретных устройств их драйверов.

Файл: %SystemRoot%\SYSTEM32\Ntdll.dll является специальной системой поддержки DLL-библиотек. Эта система содержит два типа функций:

Первая группа функций обеспечивает интерфейс к службам Windows XP, которые могут быть вызваны из пользовательского режима. Существует более 200 таких функций, например NtCreateFile, NtSetEvent и т.д. Для каждой из них имеется точка входа в Ntdll.dll с тем же именем. Внутренний код функции содержит специфичные для архитектуры команды, которые вызывают переход в режим ядра для обращения к реальным службам ОС, код которых содержится в Ntoskrnl.exe.

Вторая группа функций содержит большое количество функций поддержки: загрузчик исполняемых модулей, коммуникационные функции для процессов подсистемы Win32, библиотека функций реального времени пользовательского режима, диспетчер вызовов асинхронных процедур АРС (Asynchronous Procedure Call, асинхронный вызов процедур) пользовательского режима, диспетчер исключений.

Адресное пространство компьютера от 2 до 4 Гбайт под управлением ОС Windows XP занимает ядро ОС (нулевое кольцо защиты микропроцессора). Системный сервер функционирует в адресном пространстве, невидимом для программ Win32. Здесь происходит проверка действительности параметров вызова и исполняется подлинный системный код. Такая организация обеспечивает высокую степень безопасности, но иногда приводит к существенным накладным расходам. Каждая программа Win32 видит неструктурированное адресное пространство размером 2 Гбайт. Данную область памяти прикладных программ называют памятью третьего кольца защиты микропроцессора. К этой памяти может иметь доступ кроме исполняемого приложения и операционная система. Сама программа отображается в область между 64 Кбайт и 2 Гбайт. Первые 64 Кбайт недоступны. Верхняя область принадлежащего программе пространства содержит код, который воспринимается ею как системные DLL. На самом деле, это заглушки – DLL клиентской стороны, которые выполняют перенаправление вызовов. Когда программа вызывает функцию API, DLL клиентской стороны передает вызов отдельному системному процессу.

 

1.4. Возможные атаки и методы взлома ОС

 

Все виды атак, которые могут быть проведенные против ОС можно разделить на два класса: локальные и удаленные атаки.

Локальные атаки являются наиболее эффективными и действенными. Они возможны тогда, когда проводящее их лицо имеет прямой физический доступ к системе или объект, проводящий локальную атаку, представлен какой-либо исполняемой сущностью, например, программой-вирусом или трояном. К другим типам локальных взломщиков относятся специальные письма, содержащие деструктивный («психологический») код, а также другие методы воздействия на пользователя или систему, связанные с запуском соответствующих программ-взломщиков на компьютере пользователя.

Удаленные атаки являются наиболее распространенными и производятся в локальных или глобальных сетях, включая модемные соединения Интернет. Удаленные атаки бывают не столь эффективны, в худшем случае заканчиваются DoS (Denied of Service) атакой, в ходе которой нарушается нормальное функционирование компьютера подключенного к сети, что приводит к его зависанию или перезагрузке, в результате могут оказаться потерянными данные, которые пользователь не успел сохранить. Если же компьютер, против которого осуществлялась атака, был сервером организации, то из-за прекращения его работы компания может понести убытки. Для рабочих станций, использующих модемное соединение для выхода в Интернет, взломщикам атаки провести гораздо сложнее.

Чтобы избежать локальных атак посредством вирусов и троянов достаточно использовать антивирусы, которые осуществляют мониторинг системы и электронной почты.

Удаленные и локальные атаки имеют общую структуру проникновения на компьютер. В н.в. для проникновения на компьютер используются сложные технологии, основывающиеся на системном программировании и знании архитектуры ОС, против которой они проводятся. Зачастую, чтобы найти метод проникновения, взломщику необходимо провести несколько месяцев в исследовании операционной системы, приложений, системных сервисов и программ, предположительно запущенных на компьютере-жертве.

Однако, независимо от конкретного пути проникновения  в каждую определенную систему, взломщиками используется один и тот же метод, называемый «переполнение буфера» (buffer overflow). Этот метод заключается в запуске программы взломщиков, посредством программного обеспечения, например, сервиса удаленного вызова процедур (RPC), контроля сети или даже какого-либо драйвера устройства, запущенного на компьютере-жертве.

Сущностью этой технологии взлома является «подсовывание» программе постоянно работающей или часто запускаемой в системе, например, в ответ на какое-либо событие, некоторой информации, которая содержит в себе не только сами данные, но и исполняемую программу, составленную взломщиками для данной системы. Программа на компьютере-жертве принимает вместе с исполняемой программой данные, предложенные ей взломщиками, а затем, после специального запроса, запускается и сама программа сетевых взломщиков.

Чаще всего для этих целей используется методика, в которой данные налагаются на стек таким образом, чтобы при выходе из процедуры получения данных, в программе-жертве произошел запуск программы сетевых взломщиков. Даже в самой простой программе могут быть сотни мест, в которых взломщики могут произвести переполнение буфера и запустить свой код. Производители стараются быстро находить такие места в своих программных продуктах и быстро их корректировать, но взломщики находят все новые и новые уязвимости.

В настоящий  момент более или менее действующим  средством от удаленных атак переполнения буфера является установка брандмауэров (firewall), отбрасывающих все подозрительные соединения, которые пытаются установить сетевые пользователи. Однако перегрузки буфера возможны и в самом брандмауэре. Поэтому до недавнего времени считалось, что надежной защиты от атак перегрузкой буфера не существует.

Ситуация начала меняться лишь в последнее время, когда компания AMD (Advanced Micro Devices, http://www.amd.com/) впервые в истории компьютерной индустрии предложила радикальное решение этой проблемы. Оно основывается на аппаратной защите Enhance Virus Protection, заложенной в новейшие и наиболее технологичные микропроцессоры этой компании. Основной идей является предотвращение исполнения подозрительного кода. Однако данные функции, помимо микропроцессора, должна поддерживать и сама операционная система. Для функционирования данной системы защиты под Windows XP необходимо обновление Service Pack 2 или выше.

Если взломщикам удалось запустить свою программу на компьютере, первое, о чем они подумают: какие права они имеют в вашей системе, а также смогут ли они с этими правами выполнить свои задачи или нет, т.к. все процессы в Windows XP работают с разными правами. Чаще всего у взломщиков будут те права, которые имеет программа, от имени которой они действуют.

Если взломщикам удалось методом перегрузки буфера взломать какой-то сетевой сервис в случае удаленной атаки, то они смогут работать в системе только от его имени и под его правами (вероятно, что это будет группа SYSTEM или какая-либо другая, в зависимости от сервиса и настроек системы). Поэтому для обеспечения защиты системы необходимо стремиться к тому, чтобы запущенные приложения и сервисы обладали только теми правами, которые им действительно нужны.

Однако это  понимают и взломщики (сетевые кракеры), поэтому они используют двойной взлом системы, который заключается в том, чтобы вначале провести удаленную атаку и получить доступ к системе-жертве, а затем повысить свои права в системе. Это достигается за счет второго взлома какой-либо исполняемой сущности, которая имеет требуемые права. Второй взлом фактически является локальной атакой, так как взломщики уже имеют доступ к компьютеру. Локальные атаки выполняются с целью получение больших прав, в идеале – прав системного администратора. Поэтому необходимо поставить взломщикам дополнительные барьеры от проникновения в систему, для чего необходимо всем пользователям работать в системе только с теми правами, которые им действительно нужны.

В случае если взломщики  получили права системного администратора или опытных пользователей группы Power Users, то система становится уже управляемой ими, что может привести к полной потере важной информации или к утечке коммерческой  информации за пределы компании.

 

2. Практическая  часть

 

2.1. Вопросы  по разделу

 

1. Из каких частей состоит архитектура функционирования ОС Windows XP?
2. Какие уровни привилегий предусматривается в аппаратной архитектуре процессоров, совместимых с семейством Intel x86?
3. В каком режиме функционируют программы ядра ОС Windows XP?
4. Какие программы функционируют в режиме пользователя?
5. Какие программы функционируют в режиме ядра?
6. Дайте определение термину «набор API-вызовов»
7. Какой модуль используется для отображения информации на мониторе?
8. Определите самый нижний уровень ОС.
9. Какие правила построения современных ОС?
10. На основе каких принципов построения спроектированы компоненты режима ядра Windows XP?
11. Как называются системы, имеющие в наличие одно простое ядро  и большое количество компонентов системного режима
12. Какие программы и компоненты выполняются в режиме ядра?
13. В каком файле находится ядро ОС?
14. Какие операции выполняет ядро ОС?
15. Какие компоненты включает исполняемая часть ОС Windows XP?
16. Какие группы функций входят в состав исполняющей части ОС Windows XP?
17. Какие функции определяет уровень абстракции от оборудования?
18. Какие функции выполняют драйвера устройств
19. Перечислите типы драйверов устройств.
20. Какие типы пользовательских процессов имеются в режиме пользователя?
21. Какие подсистемы среды имеет ОС Windows XP?
22. Что является главными компонентами подсистемы Win32?
23. Что поддерживает процесс подсистемы среды
24. Какие компоненты поддерживают драйвера режима?
25. Какие функции содержит система поддержки DLL-библиотек в ОС Windows XP?
26. Перечислите возможные атаки на ОС.
27. Перечислите методы взлома ОС.

2.2. Порядок отчетности и форма контроля выполнения работы

 

Контроль выполнения задания производится по окончании  занятия и на консультациях в форме защиты выполненной работы, предоставленной в электронном и в бумажном виде в форме «Отчет по лабораторной работе …».