來看看昂達obook11的實拍圖:
機器的配置為X5-Z8300 1.44G(睿頻至1.88G)/2G/32G.廠家最新只有windows10 TH2(1511)的系統(tǒng)版本,聽說微軟8月份慶祝十周年除了最新的14393版本,也就是傳說中的紅石第一版。去onda網(wǎng)站看下,只有obook plus系列出了原廠鏡像,舊版本的obook并沒有,于是乎就開始了手動升級之旅。
在網(wǎng)上綜合了一下,發(fā)現(xiàn)win10 rs1的鏡像不太好下載,于是乎去微軟官網(wǎng)下載了一個微軟專門出的工具,中文名就易升,據(jù)說是兩次點擊就可以自動升級的工具,界面是這樣的:
同意協(xié)議后,點下一步,立即更新就會開始了漫長的下載過程,當網(wǎng)速過慢的時候,會提示錯誤0x000跟著一串代碼,這時候你需要重新來過。當下載完成后,就提示你重啟更新,但是,obook筆記本本身只有28G的可用容量,除去系統(tǒng)后空間約17G,在線升級系統(tǒng)需要最少8.8G,升級程序會提示空間不足,讓你指定,指定了u盤后,重啟后會藍屏,不知道什么原因。
然后沒有辦法在線升級,只能再次下載一個工具叫微軟出品的叫media creation tool(下載地址:https://www.microsoft.com/en-us/software-download/windows10),下載生成iso。這里我選擇的是家庭中文版,為什么呢?因為obook11自帶的就是家庭版的正版授權(quán)。下面是工具的界面圖:
然后下一步就是漫長的下載過程,完工后,指定保存的地方會生成一個ISO,刻U盤,然后U盤啟動obook11,Win10的安裝我是全新安裝,把唯一一個主分區(qū)格式化,然后安裝,過程不表,安裝程序完成后,很順利的進入了Win10 RS1.
第一眼看上去,菜單的上設置按鈕的位置比之前的有所改變,然后最蛋疼的事來了,打開設備管理器,十幾個驅(qū)動的缺失,包括無線網(wǎng)卡,電源管理等,于是就到官網(wǎng)去找,的確有所發(fā)現(xiàn):
下載下來,解包,按照官方的驅(qū)動說明安裝,發(fā)現(xiàn)還有五六個驅(qū)動未能打上,一看原因,提示數(shù)字簽名被改動,不能用,而且官方上又沒有別的驅(qū)動,又搜索了一下,貌似還有一個obook10 pro的驅(qū)動,應該能用吧?
死馬當活馬醫(yī),然后下載,就打感嘆號的那幾個驅(qū)動手動安裝,居然ok了。另外提醒這個系列的無線網(wǎng)卡很變態(tài),假如驅(qū)動失效,你必須設備管理器卸載掉(勾選刪除軟件),重啟,然后安裝新的驅(qū)動,重啟,才ok,因為一般重置了Win10以后,都會出現(xiàn)wifi搜不了網(wǎng)的情況。
WIFI搞定后,Win10 RS1自動激活
,到此完工,使用稍微體驗了一下,內(nèi)存的占用,和開關機時間比1511版本提升了不少,值得升級,聽說明年春馬上出RS2版本,期待哦。歡迎讀者在評論與小編交流。
演講者
丁川達,2014 年加入騰訊,現(xiàn)任騰訊玄武實驗室工程師,主要從事 Windows 平臺安全研究。CanSecWest 2016 會議演講者。
曾從事軟件開發(fā)相關工作,對于因研發(fā)管理問題和開發(fā)人員安全意識欠缺而導致的各類漏洞有深入了解。
會議議程
代碼完整性保護
執(zhí)行保護
任意代碼保護
應用程序保護
攻擊者如何攻擊瀏覽器
典型的網(wǎng)絡瀏覽器漏洞利用鏈由三部分組成:
遠程代碼執(zhí)行(RCE)漏洞的利用。
特權(quán)提升漏洞(EOP)漏洞的利用,用于提權(quán)并逃離沙箱。
利用獲得的權(quán)限來實現(xiàn)攻擊者目標的有效載荷(例如勒索軟件,植入,偵察等)。
這些攻擊的模塊化設計,使攻擊者能夠根據(jù)目標選擇不同的RCE,EOP和有效載荷組合。因此,現(xiàn)代攻擊無處不在地依靠執(zhí)行任意本地代碼來運行其利用的第二階段和第三階段。
緩解任意原生代碼執(zhí)行
大多數(shù)現(xiàn)代瀏覽器攻擊嘗試將內(nèi)存安全漏洞轉(zhuǎn)化為在目標設備上運行任意本機代碼的方法。這種技術(shù)非常普遍,因為它為攻擊者提供了最簡單快捷的途徑,使他們能夠靈活而均勻地對每個階段進行階段化攻擊。對于防御來說,防止任意代碼執(zhí)行是及其易用的,因為它可以在不需要事先知道漏洞的情況下大幅限制攻擊者的自由范圍。為此,Windows 10創(chuàng)作者更新中的Microsoft Edge利用代碼完整性保護(CIG)和任意代碼保護(ACG)來幫助防御現(xiàn)代Web瀏覽器攻擊。
Windows10防御機制
WDEG
微軟于2017年10月17日正式發(fā)布了Windows 10的新版本Fall Creators Update(RS3)。
在此次更新中,微軟將其工具集EMET(The Enhanced Mitigation Experience Toolkit)的功能集成到操作系統(tǒng)中,推出了WDEG(Windows Defender Exploit Guard)。
WDEG主要實現(xiàn)以下四項功能:
1.攻擊防護(Exploit protection)
通過應用緩解技術(shù)來阻止攻擊者利用漏洞,可以應用于指定的程序或者系統(tǒng)中所有的程序。
2.攻擊面減少(Attack surface reduction)
通過設置智能規(guī)則來減少潛在的攻擊面,以阻止基于Office應用、腳本、郵件等的攻擊。
3.網(wǎng)絡保護(Network protection)
擴展Windows Defender SmartScreen的范圍,為所有網(wǎng)絡相關的操作提供基于信任的防護。
4.受控制文件夾的訪問(Controlled folder access)
協(xié)助保護系統(tǒng)中的重要文件,使其不會被惡意軟件(尤其是加密文件的勒索軟件)修改。
User Mode API Hook:
分配/執(zhí)行/啟用執(zhí)行位的內(nèi)存區(qū)域
創(chuàng)建進程/線程
創(chuàng)建文件/文件映射
獲取模塊/函數(shù)地址
export address filter + modulesmshtml.dllflash*.ocxjscript*.dllvbscript.dllvgx.dllmozjs.dllxul.dllacrord32.dllacrofx32.dllacroform.api
局限性:
在很大程度上與emet 5.x相同,但也有類似的弱點
User Mode hooks可以被繞過
增加了惡意代碼執(zhí)行的難度但并不能完全阻止。
CIG:只允許加載正確簽名的images
攻擊者在攻擊進程中加載images通過以下方式:在進程中加載dll和創(chuàng)建子進程。win10 TH2 推出了兩種解決辦法防止上述攻擊:進程簽名策略(process signature policy),子進程策略(child process policy)。
Process Signature Policy
Child Process Policy
從Windows 10 1511更新開始,Edge首次啟用了CIG并做出了額外的改進來幫助加強CIG:防止子進程創(chuàng)建,由于UMCI策略是按每個進程應用的,因此防止攻擊者產(chǎn)生具有較弱或不存在的UMCI策略的新進程也很重要。在Windows 10 1607中,Edge為內(nèi)容流程啟用了無子進程緩解策略,以確保無法創(chuàng)建子進程。
此策略目前作為內(nèi)容處理令牌的屬性強制執(zhí)行,以確保阻止直接(例如調(diào)用WinExec)和間接(例如,進程外COM服務器)進程的啟動。
更快地啟用CIG策略(Windows 10 Creators更新):UMCI策略的啟用已移至流程創(chuàng)建時間,而不是流程初始化期間。通過消除將不正確簽名的DLL本地注入內(nèi)容進程的進程啟動時間差進一步提高可靠性。這是通過利用 UpdateProcThreadAttribute API為正在啟動的進程指定代碼簽名策略來實現(xiàn)的。
局限性:攻擊者可以使用自定義加載器加載shellcode來完成攻擊,雖然有一定難度但是仍然可以繞過。
ACG:代碼不能動態(tài)生成或修改
盡管CIG提供了強有力的保證,只有經(jīng)過正確簽名的DLL才能從磁盤加載,但在映射到內(nèi)存或動態(tài)生成的代碼頁后,它不能保證代碼頁的狀態(tài)。這意味著即使啟用了CIG,攻擊者也可以通過創(chuàng)建新代碼頁或修改現(xiàn)有代碼頁來加載惡意代碼。實際上,大多數(shù)現(xiàn)代Web瀏覽器攻擊最終都依賴于調(diào)用VirtualAlloc或VirtualProtect等API來完成此操作。一旦攻擊者創(chuàng)建了新的代碼頁,他們就會將其本地代碼有效載荷復制到內(nèi)存中并執(zhí)行它。
ACG在Windows 10 RS2中被采用。大多數(shù)攻擊都是通過利用分配或修改可執(zhí)行內(nèi)存完成。ACG限制了受攻擊的進程中的攻擊者能力:阻止創(chuàng)建可執(zhí)行內(nèi)存,阻止修改現(xiàn)有的可執(zhí)行內(nèi)存,防止映射wx section。啟用ACG后,Windows內(nèi)核將通過強制執(zhí)行以下策略來防止進程在內(nèi)存中創(chuàng)建和修改代碼頁:代碼頁是不可變的,現(xiàn)有的代碼頁不能寫入,這是基于在內(nèi)存管理器中進行額外檢查來強制執(zhí)行的,以防止代碼頁變得可寫或被流程本身修改。例如,不再可以使用VirtualProtect將代碼頁變?yōu)镻AGE_EXECUTE_READWRITE。無法創(chuàng)建新的未簽名代碼頁。不可使用VirtualAlloc來創(chuàng)建新的PAGE_EXECUTE_READWRITE代碼頁。
結(jié)合使用時,ACG和CIG施加的限制可確保進程只能將已簽名的代碼頁直接映射到內(nèi)存中。
局限性:OOP JIT需要生成動態(tài)代碼,若要同時工作,將增加設計的復雜性,并且攻擊者可以通過JIT和OOP生成惡意代碼。
JIT
現(xiàn)代Web瀏覽器通過將JavaScript和其他更高級別的語言轉(zhuǎn)換為本地代碼實現(xiàn)了卓越的性能。因此,它們固有地依賴于在內(nèi)容過程中生成一定數(shù)量的未簽名本機代碼的能力。JIT功能移入了一個單獨的進程,該進程在其獨立的沙盒中運行。JIT流程負責將JavaScript編譯為本地代碼并將其映射到請求的內(nèi)容流程中。通過這種方式,決不允許直接映射或修改自己的JIT代碼頁。
Device Guard Policy
工作原理
Device Guard 將 Windows 10 企業(yè)版操作系統(tǒng)限制為僅運行由受信任的簽署人簽名的代碼,如代碼完整性策略通過特定硬件和安全配置所定義,其中包括:
用戶模式代碼完整性 (UMCI)
新內(nèi)核代碼完整性規(guī)則(包括新的 Windows 硬件質(zhì)量實驗室 (WHQL) 簽名約束)
帶有數(shù)據(jù)庫 (db/dbx) 限制的安全啟動
基于虛擬化的安全,用于幫助保護系統(tǒng)內(nèi)存和內(nèi)核模式應用與驅(qū)動程序免受可能的篡改。
Device Guard 適用于映像生成過程,因此你可以為支持的設備啟用基于虛擬化的安全功能、配置代碼完整性策略并設置 Windows 10 企業(yè)版所需的任何其他操作系統(tǒng)設置。此后,Device Guard 可幫助你保護設備:
安全啟動 Windows 啟動組件后,Windows 10 企業(yè)版可以啟動基于 Hyper-V 虛擬化的安全服務,包括內(nèi)核模式代碼完整性。這些服務通過防止惡意軟件在啟動過程早期運行或在啟動后在內(nèi)核中運行,幫助保護系統(tǒng)核心(內(nèi)核)、特權(quán)驅(qū)動程序和系統(tǒng)防護(例如反惡意軟件解決方案)。