验证驱动的调用者 - 数据安全 - Chinaunix - Powered by Discuz! Archiver

论坛 › 数据安全 › 验证驱动的调用者

broadviewbj 发表于 2011-12-22 08:53

验证驱动的调用者

<SPAN style="FONT-FAMILY: 宋体; FONT-SIZE: 10.5pt; mso-ascii-theme-font: minor-fareast; mso-fareast-theme-font: minor-fareast; mso-hansi-theme-font: minor-fareast">验证驱动的调用者<SPAN lang=EN-US></SPAN></SPAN>
<P style="TEXT-INDENT: 21pt; MARGIN: 0cm 0cm 0pt" class=MsoNormal><SPAN style="FONT-FAMILY: 宋体; FONT-SIZE: 10.5pt; mso-ascii-theme-font: minor-fareast; mso-fareast-theme-font: minor-fareast; mso-hansi-theme-font: minor-fareast">有很多驱动程序加载后，会在驱动程序入口函数<SPAN lang=EN-US>DriverEntry</SPAN>中创建驱动设备，并创建符号链接，同时还会指定派遣例程。这样一来，所有用户态程序都可以通过<SPAN lang=EN-US>DeviceIoControl</SPAN>函数，调用该驱动的派遣例程。即存在<SPAN lang=EN-US>Ring3</SPAN>恶意调用<SPAN lang=EN-US>Ring0</SPAN>驱动派遣例程的问题，对于这种调用<SPAN lang=EN-US>Ring0</SPAN>程序应进行验证和过滤。<SPAN lang=EN-US></SPAN></SPAN></P>
<P style="TEXT-INDENT: 21pt; MARGIN: 0cm 0cm 0pt" class=MsoNormal><SPAN style="FONT-FAMILY: 宋体; FONT-SIZE: 10.5pt; mso-ascii-theme-font: minor-fareast; mso-fareast-theme-font: minor-fareast; mso-hansi-theme-font: minor-fareast">作为不够健壮的第三方驱动程序，更容易因为这种恶意调用被干扰，发生逻辑错误，甚至触发可能存在的内核漏洞。因此需要考虑驱动程序的通信对象和调用来源，在派遣例程中对此进行必要的安全验证和过滤。<SPAN lang=EN-US></SPAN></SPAN></P>
<P style="TEXT-INDENT: 21pt; MARGIN: 0cm 0cm 0pt" class=MsoNormal><SPAN style="FONT-FAMILY: 宋体; FONT-SIZE: 10.5pt; mso-ascii-theme-font: minor-fareast; mso-fareast-theme-font: minor-fareast; mso-hansi-theme-font: minor-fareast">验证和过滤的方法有很多，例如检查调用者进程的<SPAN lang=EN-US>PEPROCESS</SPAN>，进程文件的<SPAN lang=EN-US>MD5</SPAN>，等等。除此之外，还可以考虑用户态程序和驱动程序的通信加密，对于解密失败或非法通信数据的情况可以不予处理。<SPAN lang=EN-US></SPAN></SPAN></P>
<P style="TEXT-INDENT: 21pt; MARGIN: 0cm 0cm 0pt" class=MsoNormal><SPAN style="FONT-FAMILY: 宋体; FONT-SIZE: 10.5pt; mso-ascii-theme-font: minor-fareast; mso-fareast-theme-font: minor-fareast; mso-hansi-theme-font: minor-fareast" lang=EN-US> </SPAN></P>
<P style="TEXT-INDENT: 21pt; MARGIN: 0cm 0cm 0pt" class=MsoNormal><SPAN style="FONT-FAMILY: 宋体; FONT-SIZE: 10.5pt; mso-ascii-theme-font: minor-fareast; mso-fareast-theme-font: minor-fareast; mso-hansi-theme-font: minor-fareast" lang=EN-US><a href="http://blog.chinaunix.nethttp://blog.chinaunix.net/attachment/201107/11/13164110_1310383359PgPz.jpg" target="_blank"><IMG .load="imgResize(this, 650);" border=0 src="http://blog.chinaunix.nethttp://blog.chinaunix.net/attachment/201107/11/13164110_1310383359PgPz.jpg" ;></A> </SPAN></P>
<P style="TEXT-INDENT: 21pt; MARGIN: 0cm 0cm 0pt; LAYOUT-GRID-MODE: char; mso-layout-grid-align: none" class=MsoNormal><SPAN style="FONT-FAMILY: 宋体; FONT-SIZE: 10.5pt; mso-ascii-theme-font: minor-fareast; mso-fareast-theme-font: minor-fareast; mso-hansi-theme-font: minor-fareast">本文节选自《<SPAN lang=EN-US>0day</SPAN>安全：软件漏洞分析技术（第<SPAN lang=EN-US>2</SPAN>版）》一书。<SPAN lang=EN-US></SPAN></SPAN></P>
<P style="TEXT-INDENT: 21pt; MARGIN: 0cm 0cm 0pt; LAYOUT-GRID-MODE: char; mso-layout-grid-align: none" class=MsoNormal><SPAN style="FONT-FAMILY: 宋体; FONT-SIZE: 10.5pt; mso-ascii-theme-font: minor-fareast; mso-fareast-theme-font: minor-fareast; mso-hansi-theme-font: minor-fareast">图书详细信息<SPAN lang=EN-US>:http://blog.chinaunix.net/space.php?uid=13164110&do=blog&id=1645730</SPAN></SPAN></P>

页: [1]

查看完整版本: 验证驱动的调用者