如何调试Windows子系统的服务器进程（CSRSS．EXE）

Windows环境子系统进程(CSRSS．EXE,简称CSRSS)是Windows子系统的服务器进程。尽管从NT4开始,窗口管理(包括屏幕输出、用户输入和消息传递)和GDI的主体实现移入到内核(win32k．sys)中,但CSRSS仍然是Windows子     

Windows(2000/XP)下隐藏进程的检测机制

随着计算机技术的不断发展，近期出现了利用Windows(2000/XP)内核设计上的漏洞隐藏自身进程的入侵技术。针对这种隐藏技术提出了利用内核进程环境控制块(KPEB)、内核线程环境控制块(KTEB)以及Windows操作系统的调度机制来检测这些隐藏进程的新方法，并给出了代码示例。     

基于FUZZING试技术的Windows内核安全漏洞挖掘方法研究及应用

随着技术的进步,Windows操作系统日益完善,多种内存保护技术的结合使得传统的基于缓冲区溢出攻击越来越困难,在这种情况下,内核漏洞往往可以作为突破安全防线的切入点.该论文首先分析了现有Windows内核漏洞挖掘方法,阐述了Windows内核下进行Fuzzing测试的原理和步骤,针对Windows win32k.sys对窗口消息的处理、第三方驱动程序对IoControlCode的处理、安全软件对SSDT、ShadowSSDT函数的处理,确定数据输入路径,挖掘出多个内核漏洞,验证了该方法的有效性.     

基于Windows的软件安全典型漏洞利用策略探索与实践

随着全球信息化的迅猛发展,计算机软件已成为世界经济、科技、军事和社会发展的重要引擎。信息安全的核心在于其所依附的操作系统的安全机制以及软件本身存在的漏洞。软件漏洞本身无法构成攻击,软件漏洞利用使得把漏洞转化为攻击变为可能。文章立足于Windows操作系统,主要分析了一些常用软件的典型漏洞原理以及常见的利用方法,比较了不同利用方法在不同环境下的性能优劣,并简单分析了Windows的安全机制对软件的防护作用以及对软件漏洞利用的阻碍作用。文章着重对几种典型漏洞进行了软件漏洞利用的探索和实践,并使用当前流行的对安全机制的绕过方法分析了Windows几种安全机制的脆弱性。     

基于IP包内容的Windows包过滤技术的实现

基于内容的IP包过滤技术涉及到操作系统的内核。文章分析了Windows内核态的网络编程接口,讨论了Windows系统中包过滤的编程实现技术。     

Windows 8计算机取证与安全机制分析

随着微软新一代操作系统Windows 8的普及,计算机取证调查人员将在实际工作中越来越多的遇到安装Windows 8操作系统的检材.文章主要对Windows 8操作系统给计算机取证带来的新变化及其本身的安全机制进行了简要分析.     

Windows快捷方式漏洞分析

Windows快捷方式漏洞(亦称lnk漏洞)是2010年7月份发现的一个高危漏洞,几乎所有的Windows系统都受到此漏洞的影响。本文详细分析了Windows操作系统解析lnk文件的过程,并结合逆向工程技术剖析了lnk漏洞的工作原理。在此基础上,设计实现了一个lnk漏洞例程,并提交VirusTotal网站检测,结果说明目前lnk漏洞仍然存在安全威胁。     

Windows内核恶意代码分析与检测技术研究

Windows内核恶意代码是指能够通过改变Windows执行流程或者改变内核审计和簿记系统所依赖的数据结构等手段以达到隐藏自身,实现恶意功能的程序或程序集,对操作系统安全造成很大的危害。对近年来基于NT内核的微软Windows操作系统下恶意代码主要的隐藏实现技术（包括对进程函数、注册表函数、SSDT等的HOOK行为）进行了深入分析研究,提出了一些具有实用价值的恶意代码检测技术方案。实践表明文中提出的恶意代码分析检测技术在实际中具有积极的指导意义。     

Windows NT 4.0内核模式驱动程序中浮点运算的实现

Windows操作系统是当前测控软件发展的主流操作系统。在Windows NT操作系统中，内核模式驱动程序作为操作系统的一个信任部分，运行了Windows NT的内核模式。但是，Windows NT 4.0内核模式不支持浮点运算，本文将就此问题，探讨如何在Windows NT 4.0内核模式驱动程序中实现浮点运算。     

Windows内核恶意代码分析与检测技术研究

Windows内核恶意代码是指能够通过改变Windows执行流程或者改变内核审计和簿记系统所依赖的数据结构等手段以达到隐藏自身,实现恶意功能的程序或程序集,对操作系统安全造成很大的危害.对近年来基于NT内核的微软Windows操作系统下恶意代码主要的隐藏实现技术(包括对进程函数、注册表函数、SSDT等的HOOK行为)进行了深入分析研究,提出了一些具有实用价值的恶意代码检测技术方案.实践表明文中提出的恶意代码分析检测技术在实际中具有积极的指导意义.     

基于Windows CE的安全中间件

Windows CE是微软公司推出的一种32位嵌入式实时操作系统，它广泛应用于各种移动设备以及工业控制器等方面。移动式设备在许多情况下通过TCP／IP协议簇与外界进行通信，安全性的问题不容回避。本文通过对3.0版本WindowsCE操作系统下的网络通信模块结构的剖析，证实可以通过中问网络驱动程序的方法，实现基于IPSec协议簇的安全中间件，并提出了IPSec核心模块的设计方案以及相应的性能分析。     

Windows Bootkit实现及其检测系统设计

作为新型的劫持系统内核技术,Windows Bootkit具有较强的隐蔽性和免杀能力,引发了严峻的计算机安全问题。通过分析研究Windows Bootkit的实现方式,并结合可信计算检测原理,设计了一种基于可信计算技术的Windows Bootkit检测系统,应用结果表明,该系统能检测出各种形式的Windows Bootkit,可有效增强Windows操作系统下计算机的安全性。     

基于双层BiLSTM的安装程序DLL劫持漏洞挖掘方法

动态链接库(dynamic link library, DLL)的出现给开发人员提供了极大的便利,也提高了操作系统与应用程序之间的交互性.然而,动态链接库本身存在的安全性隐患不容忽视,如何有效地挖掘Windows平台下安装程序执行过程中出现的DLL劫持漏洞是当下保障Windows操作系统安全的关键问题之一.搜集并提取大量安装程序的属性特征,从安装程序、安装程序调用DLL模式、DLL文件本身3个角度出发,使用双层BiLSTM (bi-directional long short-term memory)神经网络进行学习,抽取出漏洞数据集的多维特征,挖掘DLL劫持未知漏洞.实验可有效检测Windows平台下安装程序的DLL劫持漏洞,共挖掘10个未知漏洞并获得CNVD漏洞授权,此外通过和其他漏洞分析工具进行对比进一步验证该方法的有效性和完整性.     

高校多媒体教室计算机系统的科学架构

针对美国东部时间2014年4月8日午夜零点已全面停止Windows XP视窗操作系统安全更新,不再修补XP系统的安全漏洞,安装XP系统的用户面临极大的风险。由于国内各高等学校多媒体教室计算机操作系统大多使用的是Windows XP,面对XP的停服,不再保护教室计算机系统的安全,各种漏洞将不断出现,面临病毒入侵的风险,如不尽快采取措施,升级多媒体教室计算机操作系统,将会影响多媒体教学工作。为做好多媒体教室计算机操作系统的升级工作,使教师尽快掌握Windows 7操作系统的使用技巧,更好地服务于高校多媒体教学,故必须对高校多媒体教室计算机系统重新进行科学架构。     

Diskaller:基于覆盖率制导的操作系统内核漏洞并行挖掘模型

内核是操作系统的核心,它构建了操作系统各类程序运行时需要的基础环境：如进程调度、存储管理、文件系统、设备驱动和网络通信等。操作系统内核漏洞的存在可能使得计算机系统遭受拒绝服务、信息泄露、超级用户权限提升等攻击,因此,针对内核的漏洞挖掘一直是网络安全领域的研究热点。本文在现有的研究基础上,提出一种基于覆盖率制导的内核漏洞并行模糊测试模型,该模型以代码覆盖率为导向,以计算节点和控制节点组成的星型结构作为并行模型,各计算节点通过代码覆盖率对系统内核持续测试,控制节点完成计算节点间代码覆盖率的收集与交互,突破了传统测试模型对计算资源要求限制和数据竞争的瓶颈,极大的提升了代码覆盖率及测试速度,加快了漏洞挖掘的效率。为了验证模型的实用性及有效性,利用Diskaller与Syzkaller和Triforce进行对比,一定条件下Diskaller覆盖率较Syzkaller提升12.8%,执行速率提升229%,较Triforce覆盖率提升335%,执行速率提升450%,并且发现了Linux内核中两个先前未被发现的漏洞。     

The pros and cons of Unix and Windows security policies

Supporters frequently tout Windows NT as being the most secure commercially available operating system. Others tend to believe this opinion after hearing of Unix's many infamous security vulnerabilities. In reality, the two operating systems have far more in common from a security point of view than people expect. This, then, makes it difficult to honestly assert that NT is more secure than Unix. By providing a brief introduction to the security architectures of Unix and Windows, we hope to convince readers that both operating systems have substantial merit from a security point of view and that neither operating system offers clearly superior security     

The Contemporary Software Security Landscape

Microsoft's release of Windows Vista marks the arrival of a new era for software security. Fundamental changes have gradually occurred, bringing us to a point now where the threat landscape no longer resembles what it was just a few years ago. Vista's release is ideal to consider as a culmination point; it's from here that software attack strategies will move into new directions. In this article, the author examines some of these new directions, as well as some of the changes related to Vista that most encapsulate the current threat landscape for software security. Eight characterirstics most strongly define the new software security threat landscape. Let's take a look at them: actualization of Web vulnerability threats; advances in code analysis; more advanced techniques; client-side vulnerabilities; remote exploitation; targeted attacks; sale of vulnerability information; and anti-exploitation technology.     

一种操作系统函数级安全监控方案

当前我国自主研发的操作系统已经具备许多实际应用环境和场景,尤其多用于重要服务器、核心设备等关键环节,因此挖掘并修复它们的内核漏洞十分重要。目前业界的漏洞挖掘技术基本上还是局部的、人工的和技术性的手段,缺乏一种广义的、全局的、算法级别上的思想和方法。在已知源码的基础上,提出一种以函数为粒度的自动变造、自动追踪和自动分析验证算法。实现了操作系统内核函数运行时监控和调用序列分析,实时发现利用内核漏洞的入侵,并精确定位出现漏洞的源码,阻塞漏洞入侵代码的运行。