久艹福利,国产拳交在线,欧美在线视频一区二区

輕松審計(jì)代碼安全性，Windows 10有妙招

原創(chuàng)|行業(yè)資訊|編輯：黃竹雯|2017-08-29 15:30:43.000|閱讀 349 次

概述：如果你是軟件開發(fā)人員，又希望自己開發(fā)的軟件安全性高一點(diǎn)，那么當(dāng)前的Windows 10企業(yè)內(nèi)部預(yù)覽版（10.0.16253）中就有一個(gè)功能可以做到。

如果你是軟件開發(fā)人員，又希望自己開發(fā)的軟件安全性高一點(diǎn)，那么當(dāng)前的Windows 10企業(yè)內(nèi)部預(yù)覽版（10.0.16253）中就有一個(gè)功能可以做到。

它的位置在“設(shè)置 – > Windows Defender – > Windows Defender安全中心 – >應(yīng)用程序和瀏覽器控制 – >漏洞保護(hù)設(shè)置”中，你可以為整個(gè)系統(tǒng)或特定程序啟用自定義漏洞利用設(shè)置。其中有很多不同的保護(hù)特性并且許多都可以在審計(jì)模式下打開。在審計(jì)模式下，它不是在出現(xiàn)情況時(shí)終止進(jìn)程，而是將事件寫入事件日志。對(duì)于管理員，這就意味著其會(huì)允許軟件繼續(xù)運(yùn)行，同時(shí)能夠使我們意識(shí)到這一情況是何時(shí)發(fā)生的。對(duì)于希望通過了解這些情況以此來改進(jìn)產(chǎn)品的人來說，它其實(shí)是提供了一個(gè)啟用安全功能的附加好處，即無需重新編譯（在某些情況下），就能告訴你確切的程序代碼在當(dāng)它在運(yùn)行時(shí)遇到問題的位置。在版本10.0.16253中，可以進(jìn)行審計(jì)的保護(hù)特性包括：

任意代碼保護(hù) - 防止非圖像支持的執(zhí)行代碼和代碼頁(yè)修改（例如VirtualAlloc / VirtualProtect創(chuàng)建/修改的代碼）
阻止低完整性圖像
阻止遠(yuǎn)程圖像
阻止不受信任的字體
代碼完整性守護(hù)者
禁用Win32k系統(tǒng)調(diào)用
不允許子進(jìn)程
導(dǎo)出地址過濾 - 將功能修補(bǔ)到另一個(gè)功能的一個(gè)常見方法中的一個(gè)步驟
導(dǎo)入地址過濾 - 將功能修補(bǔ)到另一個(gè)功能的一個(gè)常見方法中的一個(gè)步驟
模擬執(zhí)行
驗(yàn)證API調(diào)用（CallerCheck）
驗(yàn)證圖像依賴完整性
驗(yàn)證堆棧完整性

要充分利用此功能，我們需要安裝Windows Performance Toolkit。它是Windows SDK安裝程序的安裝選項(xiàng)之一。當(dāng)您啟用了您感興趣的設(shè)置后，打開管理命令提示符并瀏覽到Windows Performance Toolkit目錄（通常為Program Files（x86） Windows Kits {Version} Windows Performance Toolkit）。您可以通過運(yùn)行以下兩個(gè)命令（在替換文件名所需的任何路徑之后）啟動(dòng)并開始收集上述漏洞保護(hù)設(shè)置的跟蹤以及解析堆棧跟蹤所需的數(shù)據(jù)：

xperf - “PROC_THREAD + LOADER”-f“wdeg_klogger.etl”
 
xperf -start“WDEG” - “Microsoft-Windows-Security-Mitigations：0xFFFFFFFFFFFFFF：0xFF：'stack'”-f“wdeg_unmerged.etl”

在您運(yùn)行任何想要收集的方案之后，您可以停止跟蹤并將數(shù)據(jù)與以下內(nèi)容合并（再次替換文件名所需的任何路徑）：

xperf -stop -stop&ldquo;WDEG”-d“wdeg_merged.etl”

然后，您可以刪除創(chuàng)建的前兩個(gè)文件，因?yàn)榇藭r(shí)您將擁有第三個(gè)所需的所有數(shù)據(jù)。您可以在Windows Performance Analyzer（WPA）中打開生成的etl文件，并查看數(shù)據(jù)。

您可以使用wpaPreset文件擴(kuò)展名保存它，在WPA中加載數(shù)據(jù)，轉(zhuǎn)到我的預(yù)設(shè)（在WPA的較新版本中的文件 – >窗口 – >我的存在），選擇導(dǎo)入，瀏覽到保存預(yù)設(shè)的任何地方，選擇它，并雙擊它以顯示視圖。另外，您還需要加載符號(hào)，以充分利用這一點(diǎn)。您可以在WPA中在File-> Configure Symbols下設(shè)置符號(hào); 您需要將其指向msdl.microsoft.com/download/symbols上的Microsoft符號(hào)服務(wù)器以及您的符號(hào)服務(wù)器（或您沒有符號(hào)服務(wù)器設(shè)置的符號(hào)文件的位置）。您可以在加載跟蹤時(shí)自動(dòng)配置WPA加載符號(hào)，但也可以通過轉(zhuǎn)到文件 – >加載符號(hào)來手動(dòng)加載符號(hào)。一旦完成，您將能夠輕松地查看堆棧跟蹤。它就會(huì)像下面這樣：

以下是在創(chuàng)建上述過程中我為x64控制臺(tái)應(yīng)用程序編譯的示例代碼：

#include <Windows.h>#include <iostream>using namespace std;void* CreateCodeInVirtualMemory(BOOL writable)
{ BYTE code[3] = { 0x33, 0xc0, 0xc3 }; LPVOID result = VirtualAlloc(NULL, sizeof(code), MEM_COMMIT | MEM_RESERVE, writable ? PAGE_EXECUTE_READWRITE : PAGE_READWRITE); if (result)
{
  memcpy(result, code, sizeof(code));
} else cout << "VirtualAllocEx failed with error " << GetLastError() << endl; return result;
}void CreateCodeInVirtualMemoryAndExecute(BOOL useWritableMemory)
{ LPTHREAD_START_ROUTINE addr = (LPTHREAD_START_ROUTINE)CreateCodeInVirtualMemory(useWritableMemory); if (addr)
{  DWORD result = addr(NULL);
  cout << "Code at 0x" << hex << (void*)addr << " returned " << result << endl;
} else cout << "NULL address was not executed" << endl;
}void ExecuteIllegalMemory()
{
CreateCodeInVirtualMemoryAndExecute(FALSE);
} 
void PrintOptions()
{
cout << "Enter one of the following options:" <&lt; endl;
cout << "1 - Execute Memory Not Marked As Executable" << endl;
cout << "2 - Create Code in Virtual Memory" << endl;
cout << "3 - Create Code in Virtual Memory and Execute" << endl;
cout << "0 - Exit" << endl;
 
}void DecisionLoop()
{ while (true)
{  int selection;
  PrintOptions();
  cin >> selection;  switch (selection)
  {   case 0:    return;   case 1:
    ExecuteIllegalMemory();    break;   case 2:
    CreateCodeInVirtualMemory(TRUE);    break;   case 3:
    CreateCodeInVirtualMemoryAndExecute(TRUE);    break;   default:
    cout << "Invalid input" << endl;
  }
}
}int main()
{
DecisionLoop(); return 0;
}

在這里我沒有去對(duì)它的應(yīng)用做更多的介紹，但我相信我的拋磚引玉一定能夠讓更多的人對(duì)這一功能產(chǎn)生興趣。

對(duì)于在事件查看器中的應(yīng)用程序和服務(wù)日志中找到的大多數(shù)內(nèi)容，您也可以以相同的方式完成此類操作——單擊特定日志的屬性，它將具有Provider-Name-Parts / LogName形式的名稱。您只需要在xperf命令中使用“Provider-Name-Parts”部分即可。

標(biāo)簽：

本站文章除注明轉(zhuǎn)載外，均為本站原創(chuàng)或翻譯。歡迎任何形式的轉(zhuǎn)載，但請(qǐng)務(wù)必注明出處、不得修改原文相關(guān)鏈接，如果存在內(nèi)容上的異議請(qǐng)郵件反饋至chenjj@fc6vip.cn

上一篇：現(xiàn)場(chǎng)培訓(xùn)|易方達(dá)基金管理有限公司現(xiàn)場(chǎng)一對(duì)一培訓(xùn)圓滿結(jié)束下一篇：【圖解】最流行的7個(gè)JavaScript 框架各自的優(yōu)點(diǎn)