對Windows安全軟體的思考

標籤：security

引用註明>> 【張佩】【原文：www.YiiYee.cn/blog】

最近以來，我重新翻閱了幾本Windows系統下的安全類書籍，同時上網查閱資料，很意外地發現，很多幾年前流行的牛叉技術，雖然還在書本和網頁上曆曆在目，但實際上多數已不能在新系統中使用了。我由此也發生了一些個人的思考，雖然多年不接觸安全技術，但思考的能力還在。

分析安全問題的來源

總是因為存在安全隱患，才有了攻擊動作的發生；而因為有了大量的攻擊，才繼而產生了安全防護的需求。所以一定要研究安全隱患的來源。總體上分類，安全問題可以劃分為本地和分布式兩種，所以安全攻擊的方法也可以分為本地攻擊和分布式網路攻擊。

先看存在於本地機器上的安全隱患，也就是在一台安裝了Windows系統的PC機內部的安全隱患，把它分成下面兩類：

第一類，是OS架構本身存在的結構性的設計缺陷或不周到，從而導致了被後門軟體利用，並據此發動的針對本地資源的攻擊。這些不周到主要體現在OS為一系列的Hook技術提供了便利。存在於Windows系統上的Hook技術，從1990年代以來就一直很熱門。概言之，它包括靜態修改二進位檔案和執行時動態修改運行邏輯這兩種方法。

但我發現，若干年以來微軟已通過一些很基礎的手段，基本上消除了這些缺陷或不周到。它通過數位簽章的方法，令大部分的靜態修改的方法失效。現在數位簽章只對運行於64位OS或啟動了Secure Boot的32位OS的驅動程式強制使用，以及對所有的Metro應用強制使用，但將來不排除它也會服務程式甚至案頭使用者程式應用強制使用。通過數位簽章的方法來檢查二進位檔案的完整性，任何靜態修改都會破壞檔案完整性，從而令檔案載入失敗。

通過Patch Guard的方法，令OS的核心檔案和關鍵資料得到保護，這令針對OS系統的運行時Hook完全失效。Patch Guard機制動態檢查系統的完整性，一旦檢測到修改就令系統藍屏。流行的IDT、SSDT和運行時補丁等Hook手法，從此全都失效了。

另外，微軟新OS不斷增強對Access Control List（ACL）的管理，強化系統對象的安全性。

這些基本架構的變化，足以令大部分傳統的後門技術失效。我想，這正是諾頓軟體驚呼“安全軟體已死”的原因所在。

第二類，我稱之為特例性的軟體模組中存在的設計失誤或代碼Bug。作業系統中還存在大量的軟體模組，它們不是系統的基礎功能模組，但依然被很多軟體所使用。這些模組可能由微軟提供，也可能由第三方提供。但因為這些軟體模組數量龐雜，應用範圍局限，通用性不強，介面不統一等特點，所以一般的安全軟體可能無暇顧及它們，或不能完全覆蓋它們，後門軟體也因此能找到生存空間。

比如前段時間爆發的基於Open SSL的Heart-bleed漏洞和Linux/Unix系統上的Bash Shell漏洞，都源於軟體實現中存在的代碼Bug。這類問題的本質是因為軟體的設計和編寫都是由程式員完成的，人類天生做不到百分百面面俱到，只是看問題發生時的嚴重程度而已。

探索分布式網路應用的安全技巧

如果軟體模組是運用在分布式應用中的，則當其安全隱患爆發時，危害程度將非常地大，遠遠超過單機系統上產生的危害。所以值得對網路安全做專門的思考。

對於一個存在於分布式（網路）協議和實現模組中的設計不周，也可以通過一定的技術創新加以改善。我舉分散式阻斷服務攻擊（DDoS）的例子來說明可能的情況：

當惡意攻擊者組織成千上萬的“肉機”對指定的伺服器進行無效而巨量的網路請求，以在短時間內急遽消耗其網路資源，從而令其失去正常的響應能力，這是DDoS攻擊的實現方式。如果脫離技術細節來思考這個問題的話，會發現攻擊者總是使用非法的途徑來擷取他的“肉機”資源。因為使用合法途徑來組織這些機器不僅過於昂貴而且很容易被發現。攻擊者將木馬程式種入到目標系統令其感染，從而成為其“肉機”。可見肉機本身也是受害者。在DDoS攻擊過程中，成千上萬的受害者“肉機”，懵懵懂懂地向受害者“伺服器”發起攻擊，令事件變成了兩位受害者之間的戰爭，而真正的敵人永遠躲在幕後。

從我收集到的資料看，當前的伺服器一般採用消極防禦的策略躲避肉機轟炸，沒有辦法採取主動措施以制止肉機的攻擊。作為同病相憐的兩個人，如果能夠做到聲氣相通的話，肉機未必不會幡然悔悟。但基於C/S的架構下，如果沒有client的配合，server端沒法主動投遞訊息或指令給用戶端。在此例中，用戶端是木馬程式，也根本不可能響應server端的請求。但不妨讓我們想一想一種可能性，就是恰好在肉機端存在一個能解析server指令的client軟體。當server檢查到此肉機參與到DDoS攻擊後，就嘗試向此Client投遞訊息。最低效果是，當Client收到訊息後向使用者彈出一個風險警示的提示框，建議使用者緊急採取查殺木馬的措施。使用者可能會立刻採取有效措施，也可能不會，但如果命中率達到一定高度，將能有效並快速減緩DDoS攻擊的力度；從長遠看，肉機作為攻擊者最有價值的資源，通過此方式，將大大削弱攻擊者所擁有的有生力量。

我將此種方法稱為“雲防護”，即不僅僅依靠伺服器單機的力量，也同樣把受裹挾的肉機拉攏到己方陣營，與伺服器協同作戰。

用戶端的普及是有效實施“雲防護”的基礎。國內BAT公司的用戶端軟體有很大的裝機量，如果加以利用，應該很有前景。

遠見創新

在過去的若干年中，我逐漸領悟到一個知識，通過對基礎架構的分析和研究而進行的理論和實踐創新，遠比單純的技術複製和實現重要得多。在電腦生態環境發生重要改變，從重單機PC端運用轉向輕用戶端的雲互聯運用的當下，安全的內涵與外延也註定會發生重大改變。

當諾頓感概“安全軟體已死”時，他們所感慨的是伴隨XP及更老OS而遠逝的因OS本身漏洞叢生而造就的安全輝煌，但諾頓自己當然非常清楚，安全是永不日落的永恒話題，只是對象發生了悄然改變而已。這不，最新訊息顯示，諾頓現在已經開始對服裝（口袋）進行安全認證了。這是諾頓進行轉變和創新的一端。其他的客商如何呢？

對Windows安全軟體的思考