信息工程大学学报
信息工程大學學報
신식공정대학학보
JOURNAL OF INFORMATION ENGINEERING UNIVERSITY
2011年
6期
764-768
,共5页
逆向分析%Windows 7系统%完整性验证
逆嚮分析%Windows 7繫統%完整性驗證
역향분석%Windows 7계통%완정성험증
Windows 7的内核完整性验证机制使得传统的内核级攻击代码失去作用.针对这一问题,在对系统启动过程中的bootmgr和winload.exe两个文件进行详细分析的基础上,通过修改这两个文件来绕过用于加载内核完整性验证过程的关键函数.测试表明,在获取提升权限的前提下,将上述两个启动文件替换后系统仍然能够正常启动而没有发现异常,说明可以对Windows 7的部分完整性验证机制实现突破.
Windows 7的內覈完整性驗證機製使得傳統的內覈級攻擊代碼失去作用.針對這一問題,在對繫統啟動過程中的bootmgr和winload.exe兩箇文件進行詳細分析的基礎上,通過脩改這兩箇文件來繞過用于加載內覈完整性驗證過程的關鍵函數.測試錶明,在穫取提升權限的前提下,將上述兩箇啟動文件替換後繫統仍然能夠正常啟動而沒有髮現異常,說明可以對Windows 7的部分完整性驗證機製實現突破.
Windows 7적내핵완정성험증궤제사득전통적내핵급공격대마실거작용.침대저일문제,재대계통계동과정중적bootmgr화winload.exe량개문건진행상세분석적기출상,통과수개저량개문건래요과용우가재내핵완정성험증과정적관건함수.측시표명,재획취제승권한적전제하,장상술량개계동문건체환후계통잉연능구정상계동이몰유발현이상,설명가이대Windows 7적부분완정성험증궤제실현돌파.
