VISTA 新安全体系结构小秘密 ------ 有个连微软都不能修改的文件
VISTA 对操作系统的保护, 其中很重要的一个环节是 "代码完整性" 校验. 对于所有 属性为 "系统文件" 的, 在安装进系统的时候都会由一个文件来对它们进行哈希计算并保存住哈希值,以后每次系统启动时都会校验这个值,如果校验失败(说明文件被修改过)则该文件不会被加载. 这样,现在流行的很多病毒,木马等都完全无用武之地了,因为修改系统文件将不再有用.
但是, 如果微软自己发布了更新包,发布了sp补丁怎么办,那些东西必然是要修改系统文件的,但是一修改,哈希值就变了,系统就会无法使用.
这时候,微软给自己留了一个路,有一个专门的文件用于 重算这个哈希值.那样,就可以继续正确运行了.
但是又产生一个问题,如果病毒木马程序修改的恰恰是这个重算哈希值的文件又怎么办?
其实这个文件本身也由这个代码完整性控制, 也是要经过哈希校验的,如果这个文件被修改,则整个系统将无法继续工作. 也无法重算哈希了. 也就是说,这个文件是"连微软自己都不能修改的文件" -----------就是说在Vista未来的所有sp补丁和安全更新都不会动到这个文件.
^_^ 以上是 刚才TechEd 结束后跟微软一个Vista成员质疑关于Vista安全体系漏洞的时候发现的小秘密.........同时,很不幸,........我无意间点到Vista安全死穴.....微软关于Vista安全的讲师用了一个小时的时间讲诉Vista的一套几乎天衣无缝的安全体系结构,但是...........存在一个死穴......我瞎猫遇到死老鼠,只是一时由最小权限原则联想到一个东西,于是顺带提起, 没想到 微软的人摇头笑了, 苦笑 , "This Question......maybe you can ask Paul..." ... 答案是 "Vista 现在没有办法防御这种攻击手段..."
这个我无意间点到的安全死穴是什么呢? 猜猜?