陳偉東,劉 剛,徐 崢,耿坤英

(1.浪潮嘉信信息技術(shù)有限公司，北京100085;2.清華大學(xué) 軟件學(xué)院,北京100083)

隨著互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，作為信息系統(tǒng)的核心設(shè)備，服務(wù)器的安全提升到了一個新的高度。服務(wù)器中存儲和處理的大量核心業(yè)務(wù)數(shù)據(jù)，其安全性愈顯重要，傳統(tǒng)防病毒系統(tǒng)、防火墻、IDS等設(shè)備無法保證服務(wù)器系統(tǒng)高度保密和信息完整性要求。多核服務(wù)器的安全保障難度再增高，采用新的安全機(jī)制來提供Web服務(wù)器抵抗黑客和惡意代碼攻擊尤為重要。Web應(yīng)用必須有80和443端口，惡意用戶正是利用了這兩個端口執(zhí)行各種惡意操作：偷竊、操控、破壞Web應(yīng)用中重要信息。

為透明提升Web服務(wù)器操作系統(tǒng)安全等級，最大程度地保證系統(tǒng)兼容性，本文通過對文件系統(tǒng)和網(wǎng)絡(luò)底層架構(gòu)的理解，結(jié)合對規(guī)則的成功運用，實現(xiàn)了操作系統(tǒng)安全和網(wǎng)絡(luò)安全的有效結(jié)合。

1 原理與架構(gòu)

系統(tǒng)分為驅(qū)動層和應(yīng)用層。驅(qū)動層包括一個文件過濾驅(qū)動程序和一個NDIS網(wǎng)絡(luò)防火墻驅(qū)動；應(yīng)用層包括一個應(yīng)用程序和與驅(qū)動交互的DLL。應(yīng)用層采用了WTL做界面，在驅(qū)動程序啟動時，讀取相應(yīng)的規(guī)則文件，包括文件規(guī)則（所有進(jìn)程對文件讀寫的規(guī)則和特殊進(jìn)程對文件讀寫的規(guī)則）。文件讀寫權(quán)限有禁用、只讀、正常讀寫等。

計算機(jī)病毒發(fā)作時的行為一般有寫注冊表項、生成文件、遠(yuǎn)程線程注入等。安全防護(hù)驅(qū)動攔截系統(tǒng)服務(wù)調(diào)用，通過分析例程調(diào)用的參數(shù)得到文件、進(jìn)程等相關(guān)信息。系統(tǒng)服務(wù)調(diào)度表(SSDT)保存著本地系統(tǒng)服務(wù)的地址，可以定位函數(shù)的內(nèi)存地址。

文件系統(tǒng)過濾驅(qū)動對Native API做截獲，對IoCreateFile做INLINE HOOK，在文件讀寫時根據(jù)函數(shù)參數(shù)和例程上下文信息得到相關(guān)文件全路徑和進(jìn)程相關(guān)信息。與加載到內(nèi)存中的文件規(guī)則做判斷。規(guī)則加載方法是開啟一個系統(tǒng)線程，在系統(tǒng)線程循環(huán)中判斷規(guī)則文件是否被修改。如果被修改，則重新加載規(guī)則文件到內(nèi)存。

對注冊表的防護(hù),則是HOOK了ZwCreateKey、ZwDeleteKey、ZwEnumerateKey、ZwOpenKey 等函數(shù)。在函數(shù)內(nèi)部得到操作的進(jìn)程全路徑和注冊路徑，與規(guī)則文件中的進(jìn)程名和注冊表路徑比較，如果符合規(guī)則，則采取規(guī)則文件中的動作對注冊表操作控制，文件動作規(guī)則包括禁用、只讀結(jié)合進(jìn)程名的對比，只有進(jìn)程名和文件名與規(guī)則中的進(jìn)程名和文件名完全相同時，執(zhí)行規(guī)則內(nèi)相應(yīng)的禁用和只讀動作等。

進(jìn)程和進(jìn)程保護(hù)采用對ZwOpenProcess的HOOK方法實現(xiàn)。在截獲的ZwOpenProcess例程內(nèi)，得到進(jìn)程ID。把進(jìn)程ID與內(nèi)存規(guī)則鏈表中的保護(hù)進(jìn)程的ID作對比。如果是需要保護(hù)進(jìn)程的ID,則返回?zé)o效句柄。進(jìn)程注入多數(shù)采用CreateRemoteThread方法,在應(yīng)用層采用WriteProcessMemory函數(shù)。在核心層則是NtCreateThread例程和ZwW riteVirtualMemory例程。防止復(fù)制句柄則是在驅(qū)動層截獲ZwDuplicateObject例程。進(jìn)程保護(hù)的最低層可采用KiInsertQueueApc方法的截獲來實現(xiàn)。目前較為高級的進(jìn)程保護(hù)都采用KiInsertQueueApc方法實現(xiàn)，如XueTr等。圖1為服務(wù)器Web安全系統(tǒng)序列圖。

對64位操作系統(tǒng) (Windows Vista和Windows 2008 Server)等,由于操作系統(tǒng)采取了對內(nèi)核保護(hù)的措施(Patch-Guard技術(shù)),其內(nèi)核被鎖定了，任何第三方軟件都無法對其進(jìn)行修改。SSDT HOOK在64位操作系統(tǒng)上失效。

采用微軟WDK開發(fā)包提供minifilter框架，對文件權(quán)限的修改在IRP_MJ_CREATE內(nèi)進(jìn)行截獲，對于只讀文件，如果規(guī)則比較發(fā)現(xiàn)其是需要進(jìn)行權(quán)限修改的只讀文件，有WRITE的標(biāo)記，則修改為GENERIC_READ標(biāo)記。對需要禁用的文件，則在IRP_MJ_CREATE的后處理(PostCreate)例程內(nèi)采用FltCancelFileOpen對相應(yīng)的文件禁用。

在網(wǎng)絡(luò)安全方面采用NDIS低層技術(shù)構(gòu)建網(wǎng)絡(luò)防火墻，提供網(wǎng)絡(luò)層訪問控制和攻擊保護(hù)服務(wù)。統(tǒng)一部署在Web應(yīng)用的前端。網(wǎng)絡(luò)防火墻是整個Web應(yīng)用安全體系結(jié)構(gòu)的一個組件，防御網(wǎng)絡(luò)層黑客攻擊(網(wǎng)絡(luò)掃描、telnet等)，阻止蠕蟲的傳播。

2 文件和注冊表訪問權(quán)限研究與實現(xiàn)

文件訪問控制采用Inline Hook方法，對IoCreateFile做截獲。文件規(guī)則包括文件全路徑名、打開文件的進(jìn)程名、訪問權(quán)限(只讀、禁用、正常使用等)等多元參數(shù)組。在截獲函數(shù)內(nèi)，首先根據(jù)參數(shù)和上下文得到文件全路徑名。然后得到進(jìn)程名。與內(nèi)存規(guī)則內(nèi)的文件和進(jìn)程名對比，如果符合則根據(jù)規(guī)則中的動作對文件只讀、禁用等操作。如果不符合，則采取默認(rèn)動作。驅(qū)動內(nèi)部需要得到保護(hù)進(jìn)程的列表和進(jìn)程ID等。進(jìn)程加載通知(Ps-SetCreateProcessNotifyRoutine)；DLL或驅(qū)動加載通知(PsSet-LoadImageNotifyRoutine)；低層驅(qū)動維護(hù)著活動進(jìn)程鏈表和文件、進(jìn)程、注冊表規(guī)則鏈表等。圖2為文件網(wǎng)絡(luò)驅(qū)動與應(yīng)用層關(guān)系序列圖。

Web服務(wù)器的安全需要考慮到Web服務(wù)應(yīng)用程序的安全，包括遠(yuǎn)程線程的防止注入、復(fù)制句柄、遠(yuǎn)程內(nèi)存讀寫、子進(jìn)程創(chuàng)建的預(yù)防和判斷等。遠(yuǎn)程線程注入通過CreateRemoteThread實現(xiàn)，需要調(diào)用WriteVirtualMemory等函數(shù)，在內(nèi)核層則是調(diào)用 ZwWriteVirtualMemory。ZwWriteVirtualMemory是在NTDLL.DLL中導(dǎo)出的，在驅(qū)動內(nèi)得到NTDLL.DLL的地址，然后得到相應(yīng)導(dǎo)出函數(shù)ZwWriteVirtualMemory地址。截獲地址后，在截獲函數(shù)內(nèi)判斷進(jìn)程ID號是否是在進(jìn)程保護(hù)列表中的進(jìn)程，如是則返回STATUS_ACCESS_DENIED。

驅(qū)動底層的難點主要有文件只讀、禁用規(guī)則，結(jié)合進(jìn)程規(guī)則的對比，以及規(guī)則文件的設(shè)計和在內(nèi)存中與進(jìn)程和文件名的對比。驅(qū)動層原來對文件對比采用SSDT HOOK方法，攔截ZwOpenfile和 ZwCreateFile函數(shù)，后來改用了一個函數(shù)，采用了Inline Hook加匯編的方式，簡化了對函數(shù)的比較，收到了比較好的效果。對注冊表的規(guī)則和禁用，采用了Regmon中的方法，在注冊表相應(yīng)的函數(shù)內(nèi)得到注冊表的訪問全名，與注冊表規(guī)則進(jìn)行比較，采取相應(yīng)的禁用等方法。

規(guī)則文件加上只讀等控制后，對規(guī)則的判斷首先需要對進(jìn)程名進(jìn)行判斷，是否符合規(guī)則中的進(jìn)程名。判斷符合后，再對文件名進(jìn)行規(guī)則判斷，如果文件名相同，則按規(guī)則文件中數(shù)據(jù)結(jié)構(gòu)對文件做只讀和禁用等對復(fù)制句柄的禁止。

在64位服務(wù)器系統(tǒng)上,需要對驅(qū)動進(jìn)行簽名。Minifilter架構(gòu)可在32位和64位操作系統(tǒng)上運行。可運行 的 系 統(tǒng) 包 括 WindowsXP、Windows 2003、Windows2008 Server 64位等。在64位多核系統(tǒng)中需要調(diào)整一些不兼容的函數(shù)。

驅(qū)動難點還有在多核服務(wù)器上的驅(qū)動例程，如自旋鎖(SPIN LOCK)的獲取等，遇到了數(shù)次 BSOD.都是多核鎖造成的,多核下要用 KeAcquireInStackQueuedSpinLock.如果不想改動IRQL,只能用資源鎖（ERESOURCE）了。

3 服務(wù)器Web安全數(shù)據(jù)結(jié)構(gòu)和接口方案

用戶接口主要是應(yīng)用層的程序與驅(qū)動進(jìn)行DeviceIo-Control交互，應(yīng)用程序啟動時，需要與驅(qū)動程序會話，調(diào)用相應(yīng)的函數(shù)。還有應(yīng)用層需要定時與驅(qū)動層查詢得到相關(guān)的日志。

Minifilter應(yīng)用層和驅(qū)動層的通信方案是在應(yīng)用層采用FilterConnectCommunicationPort建立通信端口的連接。然后初始化相關(guān)參數(shù)數(shù)據(jù)，創(chuàng)建日志查詢線程。用FilterSendMessage例程查詢驅(qū)動內(nèi)日志信息。

經(jīng)過測試人員詳細(xì)測試和客戶現(xiàn)場應(yīng)用，本系統(tǒng)達(dá)到了良好的應(yīng)用效果，從驅(qū)動層到應(yīng)用層都運行良好。目前系統(tǒng)支持32位和64位服務(wù)器系統(tǒng)，對服務(wù)器安全要求較高的企事業(yè)單位有比較好的保障作用。

[1]耿玉波，夏魯寧，杜皎，等.一種 Web服務(wù)器安全機(jī)制的研究與實現(xiàn)[J]，計算機(jī)工程，2006(11):189-191.

[2]NAGAR R.Windows NT file system internals[EB/OL].[2007-04-01].http://download.csdn.net/source/168266.

[3]RUSSINOVICH M E,SOLOMON D A.Microsoft windows Internals.Fourth Edition[M].Microsoft Press，2007.

[4]湯方澄，楊小虎，董金祥.基于智能Agent的網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)的研究[J].計算機(jī)工程，2002，28(12)：63-65.