 |
| 黑客入地无门:国外流行防火墙横向评测 |
|
2006-12-28 10:07:50 BlackWing 资料来源:太平洋电脑网
|
|
入站出站保护
这方面在前面已经提到。
进程保护
每个特权进行都要保护免受若干危险行为的威胁。首先,没有恶意程序能够结束这个进程。第二,必须保证其代码或数据不被修改。第三,它必须不能在任何特权进程上下文中被执行。这方面通常包括DLL注入。
文件与组件保护
文件保护与进程保护非常接近。如果一个恶意代码能够覆盖特权应用程序的文件,那么这就等于在它们运行时修改它们的代码流。有两种方法实现文件保护。第一种方法(主动保护)是要防止对属于特权应用程序的文件进行写或删除的访问。因为这种方法难以实现,所以程序员选择了第二种方法:检查组件的完整性(组件保护)。在这种情况下,防火墙是允许恶意代码破坏或覆盖特权应用程序文件的。一旦这样的应用程序运行,防火墙的组件就会停止它的运行或向用户报告。所有的系统文件也需要提供文件保护。
驱动保护
Windows操作系统信任它的驱动程序。这就意味着,所有由驱动程序运行的代码都是被信任的,因此允许执行那些保护的处理器指令并且能够访问所有的系统资源。这就是为何有必要把部分如个人防火墙这些安全软件作为系统驱动来实行。而且,这也是为何需要控制新驱动的加载和保护存在的驱动程序。恶意软件必须不能安装驱动程序或者修改现有的驱动程序。
服务保护
由于防火墙的一部分通常作为系统服务来运行,因此对系统服务的保护也显得很有必要。但要保护的不单是防火墙组件。对于恶意软件来说,安装一个服务是持久存在系统中的一个简便方法,因为系统服务能够设置为每次启动时运行。此外,一个恶意服务是危险的还因为它甚至还能在没有用户登录的情况下运行。建立,删除和控制系统服务的功能必须得到保护。
注册表保护
Windows的注册表保护了很多重要的系统信息。通过注册表可以改变系统组件的设置。对系统注册表的某个不正确修改可能会导致系统不稳定或者甚至造成系统不能启动。有很多注册表键与值应该保护避免恶意软件的修改。
其它系统资源的保护
Windows操作系统中还存在很多不同的系统资源与对象。如果某些被恶意软件控制了,那将会是一件危险的事。这些对象中比较有名的一个就是在“\Device\PhysicalMemory”部分,如果这些部分没有受到保护,那么就有可能被利用来获得整个系统的控制权。防火墙必须保护这些会被误用的资源。
父进程控制
上面已经提到过保护特权进程的必要性。可能实现进程保护的最简单方法是控制进程与线程的打开。然而,如果进程保护是按这种方式实现的话,那么实现父进程控制也显得非常重要了。系统中的每个进程都由其父进程创建。父进程在创建子进程后都会有两个句柄。这些是进程对象与主线程的句柄。这给定的进程句柄以具有完全的访问能力的被打开,因此父进程能够完全的控制子进程。此外,尽管防火墙的设计并不会保护那些通过打开进程和线程控制的进程,但是父进程的控制还是应该实现。某些特权指令如果在命令行参数模式下运行,那么它们有可能会被误用来执行特权行为。很多防火墙都不会区分特权与非特权进程。它们通常都限制进程的创建,所以只有那些先前选择的进程才能创建子进程。
|
 推荐产品 |
 |
 用户评论 |
|
|
 |
|
 文章搜索 |
|
|
| 最新文章 |
|
|
 热门文章 |
|
| 产品搜索 |
|
|
|
| 按价格范围检索 |
|
|
| 按品牌检索 |
|
|
|
京ICP证030062号
网络实名:IT价格网
相关文章
诚信:
