Windows的验证机制

最新推荐文章于 2024-05-03 22:01:44 发布
最新推荐文章于 2024-05-03 22:01:44 发布
阅读量451 收藏
点赞数
分类专栏: 调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36308972/article/details/99960777
版权

软件调试的主要任务是寻找软件下次的根源,其前提通常是已经知道了有瑕疵存在。

发现软件瑕疵

发现软件下次的最普遍方法是测试。常见的测试手段有:

  • 黑盒测试
  • 百合测试
  • 内建自检,又称为BIST(Build-In Self-Test),是指在软件代码内部构建一些测试功能,这些功能(函数)可以在某些情况下执行,或者被自动测试工具所调用以发现问题。
  • 压力测试
    即使用了以上所有的测试手段,也不能保证会发现所有问题。原因之一是测试时的运行环境和条件不足以将错误触发并暴露出来。【比如轻微的内存泄漏,这个通常是比较难发现的】
验证机制

验证机制的主要目标是检查被测试软件,或者说是为被测试软件提供一个验证器(Verifier)。

  • 驱动程序验证器
  • 应用程序验证器
  • WHQL测试。通过WHQL(Windows Hardware Quality Labs)测试是驱动程序取得Windows徽标和得到数字签名的必要条件。
驱动验证器的工作原理

设计原理:

  • 在驱动程序调用设备驱动接口(DDI)函数时,对驱动程序执行各种检查,看其是否符合系统定义的设计要求,特别是DDK文档所定义的调用条件和规范。
  • Windows采用通过修改被验证驱动程序的输入地址表(Import Address Table, IAT)来挂接驱动程序的DDI调用,即通常所说的IAT HOOK方法。
    系统会将被验证驱动程序IAT表中的DDI函数地址替换为验证函数的地址。这样,当这个驱动程序调用DDI函数时,便会调用对应的验证函数。验证函数与原来的函数具有完全一致的函数原型,所以不会影响被验证程序的执行。

在验证函数被调用后,它执行的典型操作:

  1. 更新计数器,或者全局变量。
  2. 检查调用参数,或者做其他检查。如果检测到异常情况,即通过蓝屏机制来报告验证失败。
  3. 如果没有发现问题,那么验证函数会调用原来的函数,并返回原函数的返回值。

验证项目:
基本的:

  • 自动检查
  • 特殊内存池
  • 强制的IRQL检查
  • 低资源模拟
  • I/O验证

Windows XP引入:

  • 死锁验证
  • 增强的I/O验证
  • SCSI验证

Windows Server 2003引入:

  • IRP记录

Windows Vista引入:

  • 驱动滞留探测
  • 安全检查
  • 强制的I/O请求等待解决
  • 零散检查
应用程序验证器的工作原理

原理与驱动程序验证器的工作原理类似。
应用验证器由以下三个部分组成:

  1. 位于NTDLL中的支持例程。这些函数大多以AVrf开头,位于系统的NTDLL.DLL模块中。
  2. 验证提供器模块,是安装应用程序验证工具时复制到系统system32目录下的多个DLL文件,每个文件为一个动态链接库,用于完成某一方面的验证任务。每个提供器都包含若干个验证函数和THUNK表,前者用来替代系统API,后者用来描述要挂接的函数信息。在这里插入图片描述
  3. 应用验证管理器,用于管理(添加、删除)被验证的应用程序和选择验证项目的工具程序,也是应用程序验证工具包时需要安装的,位于system32目录下,文件名为appverif.exe。
    在这里插入图片描述
小菜鸡今天学习了嘛
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[系统安全] 二十二.PE数字签名之(下)微软证书漏洞CVE-2020-0601复现及Windows验证机制分析
杨秀璋的专栏
02-17 1万+
作者前文介绍了什么是数字签名,利用Asn1View、PEVie、010Editor等工具进行数据提取和分析,这是全网非常新的一篇文章,希望对您有所帮助。这篇文章将详细介绍微软证书漏洞CVE-2020-0601,并讲解ECC算法、Windows验证机制,复现可执行文件签名证书的例子。 这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、文档、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参
[网络安全自学篇] 四十六.微软证书安全问题 (上)Windows验证机制及可执行文件签名问题
热门推荐
杨秀璋的专栏
02-16 1万+
前文分享了简单的病毒原理知识,并通过批处理代码制作病毒,包括自动启、修改密码、定时关机、蓝屏、进程关闭等功能。这篇文章将分享微软证书漏洞CVE-2020-0601,并讲解ECC算法、Windows验证机制,复现可执行文件签名证书的例子。希望这篇基础文章对您有所帮助,更希望大家提高安全意识,学会相关防范,也欢迎大家讨论。
windows认证机制
Armandhe的博客
06-21 1165
windows认证机制
Windows认证机制
qq_58000413的博客
06-05 813
本地认证中用来处理用户输入密码的进程即lsass.exe,密码会在这个进程中明文保存,供该进程将密码计算成NTLM hash与sam进行比对,我们使用mimikatz来获取的明文密码,便是在这个进程中读取到的。其中关键点在于:第二步中客户端发送的是NTLM哈希值,于随机字符串的加密结果,而这个NTLM哈希是由御用输入的密码本地计算得出的,所以在这个步骤中,只要能提供正确的NTLM哈希即使步知道正确的密码也可以通过认证。这里challenge相当于加密的密钥,challenge1为密码加密的结果。
软件调试笔记21 - WINDOWS验证机制
imJaron的博客
11-30 394
常见测试手段: 虽然各种测试都有优势跟侧重点,但即使用了所有的手段,也不能保证会发现所有的问题,比如测试的时候运行环境和条件不足以将错误触发并暴露出来。所以WINDOWS系统提供了验证机制来满足这个需求。 WINDOWS验证机制简介: 从编译和构建角度,WINDOWS的系统映像文件有CHECKED和FREE版本,差别是CHECKED版本包含断言。但断言只是检查软件自身
windows身份认证机制(kerberos)
ryanzzzzz的博客
08-23 817
(1)本地认证:用户在设备本地登录windows,通过NTLM协议(NT LAN Manager,一种问询/应答身份验证协议),系统将用户输入的口令计算成NTLM hash,然后与SAM(Security Account Management)数据库中该用户的口令Hash值比对进行身份认证。在第一次交换中,声称者通过共享密钥从认证服务器获取到验证者的许可证票据(Ticket),他们之间的通信即通过之间的共享密钥保护。例如,windows 2000完全系统集成Kerberos V5、公钥证书和NTLM。
一种针对可信计算平台的分布式可信验证机制.pdf
08-10
针对这个问题,论文提出了一种分布式可信验证机制(DTVMTC,Distributed Trusted Verification Mechanism for Trusted Computing Platform)。DTVMTC的目标是解决自由软件的可信验证问题,即在没有官方可信源的情况...
c2 osr windows验证工具
07-30
【标题】"C2 OSR Windows验证工具"是一款专门针对Windows操作系统设计的软件或插件,主要用于进行某些特定的操作系统层面的验证工作。OSR(Operating System R&D,操作系统研发)通常涉及到对底层操作系统的深入理解...
Windows安全机制分析
10-23
Windows 安全机制分析 Windows 操作系统的安全机制是保护计算机系统和数据免受未经授权的访问、使用、披露、修改或破坏的关键组件。随着 Windows 操作系统的不断发展,安全机制也在不断演进和改进。本文将对 ...
Windows中用户认证机制的研究
04-19
针对目前使用最广泛的windows系统 , 实现了基于“usb-key+pin码” 与“ 登录账号口 令” 可定制的开机身份认证方案 , 用户可以根据需求定制不同的登录认证方式, 提高了终端登录的便捷 与安全性
Windows7内核完整性验证机制研究
11-17
Windows 7 的内核完整性验证机制使得传统的内核级攻击代码失去作用。针对这一问 题,在对系统启动过程中的 bootmgr 和 winload. exe 两个文件进行详细分析的基础上,通过修改 这两个文件来绕过用于加载内核完整性验证过程的关键函数。测试表明,在获取提升权限的 前提下,将上述两个启动文件替换后系统仍然能够正常启动而没有发现异常,说明可以对 Windows 7 的部分完整性验证机制实现突破。 关键词:逆向分析; Windows 7 系统;完整性验证
Windows认证机制详解
Canterlot的博客
09-04 2700
windows各种认证机制详解,包括本地认证、ntlm认证、Kerberos域认证、token令牌、SPN与Kerberoast等
windows 认证机制
这是笔者初学时所做的笔记,有错误的地方太多了,有些结论也只是笔者的一家之言。请自行判断
10-09 4886
Windwos密码hash 早期SMB协议在网络上传输明文口令,后来出现"LAN Manager Challenge/Response"验证机制,简称LM,由于容易被破解,微软提出了windows NT挑战/响应机制,称之为NTLM。现在已经有了更新的NTLM v2以及Kerberos验证体系。windows加密过的密码口令,我们称之为hash,windows的系统密码hash默认情况下一般有两部分组成:LM-hash,NTLM-hash 。 NTLM hash 在windows系统中比较常见的是从系统导出
Windows认证机制和协议---Kerberos协议
最新发布
Naive的博客
05-03 1421
Kerberos协议是由麻省理工学院提出的一种网络身份认证协议,提供了一种在开放的非安全网络中认证识别用户身份信息的方法。其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。该认证过程的实现不依于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假设网络上传送的数据包是可以被任意的读取、修改和插入数据。在以上情况下,Kerberos作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的.
Windows认证机制和协议---NTLM详解
Naive的博客
01-09 1519
Windows网络认证是指在Windows操作系统中进行网络通信和资源访问时,验证用户身份和授予权限的过程。Windows操作系统通常使用两种方法对用户的明文密码进行加密处理。一部分为LM HASH,另一部分为NTML HASH。
windows 登录认证函数
masterjames的专栏
10-13 655
function   VerifyWindowsUser(const   Machine,Username,Password:String):boolean;var  hToken:THandle;begin  hToken:=0;  Result:=LogonUser(PChar(UserName),PChar(Machine),PChar(Password),LOG
WindowsXP 系统登陆原理及其验证机制概述
weixin_34033624的博客
01-07 269
平常我们在使用WindowsXP时,总是要先进行登录。WindowsXP的登录验证机制和原理都要比Windows98严格并复杂得多,不会再出现按“取消”按钮就能进入系统的丑事(可以通过修改注册表来禁止)。理解并掌握WindowsXP的登录验证机制和原理对我们来说很重要,能增强对系统安全的认识,并能够有效预防、解决黑客和病毒的入侵。 一、了解WindowsXP的几种登录类型。 1、交互式登录 ...
[内网] Windows三大认证
weixin_43586169的博客
07-28 2708
Kerberos认证与NTML认证都是属于网络认证,也可以将这个三种认证方式分为两大类,就是本地认证和网络认证,网络认证分为Kerberos认证和NTML认证。 以举例子, 白话形容,将Windows三大认证讲解的透彻,彻底理解。......
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值