一区二区免费国产,操碰视频操碰,欧洲性网

国产自产第一-国产自产对白一区-国产自产精品-国产自产区44页-国产自产在线-国产自产自拍-国产自产自拍视频-国产自精品

輕松審計代碼安全性，Windows 10有妙招

原創|行業資訊|編輯：黃竹雯|2017-08-29 15:30:43.000|閱讀 349 次

概述：如果你是軟件開發人員，又希望自己開發的軟件安全性高一點，那么當前的Windows 10企業內部預覽版（10.0.16253）中就有一個功能可以做到。

如果你是軟件開發人員，又希望自己開發的軟件安全性高一點，那么當前的Windows 10企業內部預覽版（10.0.16253）中就有一個功能可以做到。

它的位置在“設置 – > Windows Defender – > Windows Defender安全中心 – >應用程序和瀏覽器控制 – >漏洞保護設置”中，你可以為整個系統或特定程序啟用自定義漏洞利用設置。其中有很多不同的保護特性并且許多都可以在審計模式下打開。在審計模式下，它不是在出現情況時終止進程，而是將事件寫入事件日志。對于管理員，這就意味著其會允許軟件繼續運行，同時能夠使我們意識到這一情況是何時發生的。對于希望通過了解這些情況以此來改進產品的人來說，它其實是提供了一個啟用安全功能的附加好處，即無需重新編譯（在某些情況下），就能告訴你確切的程序代碼在當它在運行時遇到問題的位置。在版本10.0.16253中，可以進行審計的保護特性包括：

任意代碼保護 - 防止非圖像支持的執行代碼和代碼頁修改（例如VirtualAlloc / VirtualProtect創建/修改的代碼）
阻止低完整性圖像
阻止遠程圖像
阻止不受信任的字體
代碼完整性守護者
禁用Win32k系統調用
不允許子進程
導出地址過濾 - 將功能修補到另一個功能的一個常見方法中的一個步驟
導入地址過濾 - 將功能修補到另一個功能的一個常見方法中的一個步驟
模擬執行
驗證API調用（CallerCheck）
驗證圖像依賴完整性
驗證堆棧完整性

要充分利用此功能，我們需要安裝Windows Performance Toolkit。它是Windows SDK安裝程序的安裝選項之一。當您啟用了您感興趣的設置后，打開管理命令提示符并瀏覽到Windows Performance Toolkit目錄（通常為Program Files（x86） Windows Kits {Version} Windows Performance Toolkit）。您可以通過運行以下兩個命令（在替換文件名所需的任何路徑之后）啟動并開始收集上述漏洞保護設置的跟蹤以及解析堆棧跟蹤所需的數據：

xperf - “PROC_THREAD + LOADER”-f“wdeg_klogger.etl”
 
xperf -start“WDEG” - “Microsoft-Windows-Security-Mitigations：0xFFFFFFFFFFFFFF：0xFF：'stack'”-f“wdeg_unmerged.etl”

在您運行任何想要收集的方案之后，您可以停止跟蹤并將數據與以下內容合并（再次替換文件名所需的任何路徑）：

xperf -stop -stop&ldquo;WDEG”-d“wdeg_merged.etl”

然后，您可以刪除創建的前兩個文件，因為此時您將擁有第三個所需的所有數據。您可以在Windows Performance Analyzer（WPA）中打開生成的etl文件，并查看數據。

您可以使用wpaPreset文件擴展名保存它，在WPA中加載數據，轉到我的預設（在WPA的較新版本中的文件 – >窗口 – >我的存在），選擇導入，瀏覽到保存預設的任何地方，選擇它，并雙擊它以顯示視圖。另外，您還需要加載符號，以充分利用這一點。您可以在WPA中在File-> Configure Symbols下設置符號; 您需要將其指向msdl.microsoft.com/download/symbols上的Microsoft符號服務器以及您的符號服務器（或您沒有符號服務器設置的符號文件的位置）。您可以在加載跟蹤時自動配置WPA加載符號，但也可以通過轉到文件 – >加載符號來手動加載符號。一旦完成，您將能夠輕松地查看堆棧跟蹤。它就會像下面這樣：

以下是在創建上述過程中我為x64控制臺應用程序編譯的示例代碼：

#include <Windows.h>#include <iostream>using namespace std;void* CreateCodeInVirtualMemory(BOOL writable)
{ BYTE code[3] = { 0x33, 0xc0, 0xc3 }; LPVOID result = VirtualAlloc(NULL, sizeof(code), MEM_COMMIT | MEM_RESERVE, writable ? PAGE_EXECUTE_READWRITE : PAGE_READWRITE); if (result)
{
  memcpy(result, code, sizeof(code));
} else cout << "VirtualAllocEx failed with error " << GetLastError() << endl; return result;
}void CreateCodeInVirtualMemoryAndExecute(BOOL useWritableMemory)
{ LPTHREAD_START_ROUTINE addr = (LPTHREAD_START_ROUTINE)CreateCodeInVirtualMemory(useWritableMemory); if (addr)
{  DWORD result = addr(NULL);
  cout << "Code at 0x" << hex << (void*)addr << " returned " << result << endl;
} else cout << "NULL address was not executed" << endl;
}void ExecuteIllegalMemory()
{
CreateCodeInVirtualMemoryAndExecute(FALSE);
} 
void PrintOptions()
{
cout << "Enter one of the following options:" <&lt; endl;
cout << "1 - Execute Memory Not Marked As Executable" << endl;
cout << "2 - Create Code in Virtual Memory" << endl;
cout << "3 - Create Code in Virtual Memory and Execute" << endl;
cout << "0 - Exit" << endl;
 
}void DecisionLoop()
{ while (true)
{  int selection;
  PrintOptions();
  cin >> selection;  switch (selection)
  {   case 0:    return;   case 1:
    ExecuteIllegalMemory();    break;   case 2:
    CreateCodeInVirtualMemory(TRUE);    break;   case 3:
    CreateCodeInVirtualMemoryAndExecute(TRUE);    break;   default:
    cout << "Invalid input" << endl;
  }
}
}int main()
{
DecisionLoop(); return 0;
}

在這里我沒有去對它的應用做更多的介紹，但我相信我的拋磚引玉一定能夠讓更多的人對這一功能產生興趣。

對于在事件查看器中的應用程序和服務日志中找到的大多數內容，您也可以以相同的方式完成此類操作——單擊特定日志的屬性，它將具有Provider-Name-Parts / LogName形式的名稱。您只需要在xperf命令中使用“Provider-Name-Parts”部分即可。

標簽：

本站文章除注明轉載外，均為本站原創或翻譯。歡迎任何形式的轉載，但請務必注明出處、不得修改原文相關鏈接，如果存在內容上的異議請郵件反饋至chenjj@fc6vip.cn

上一篇：現場培訓|易方達基金管理有限公司現場一對一培訓圓滿結束下一篇：【圖解】最流行的7個JavaScript 框架各自的優點