解讀安全Win8背后的推手

俞木發(fā)

我們知道Win8有著美倫美奐的界面，但在Win8光鮮界面的背后有哪些安全組件在幕后保護(hù)系統(tǒng)？它們是通過什么手段保護(hù)Win8的呢？

UEFI安全啟動(dòng)技術(shù)

現(xiàn)在病毒、木馬為了避免自身被殺毒軟件查殺，在啟動(dòng)優(yōu)先權(quán)上一直在和殺毒軟件競爭。為了贏得啟動(dòng)的優(yōu)先權(quán)，惡意軟件正在將系統(tǒng)啟動(dòng)路徑作為首選攻擊目標(biāo)。此類攻擊很難防范，因?yàn)閻阂廛浖梢员葰⒍拒浖鐔?dòng)，從而控制殺毒軟件（將其禁止啟動(dòng)，或者運(yùn)行在系統(tǒng)底層使得殺毒軟件無法將其查殺）。為了對這類優(yōu)先啟動(dòng)的惡意軟件進(jìn)行防護(hù)，Win8引入了UEFI安全啟動(dòng)技術(shù)。

為了更好地了解UEFI安全啟動(dòng)，我們先來了解一下一般操作系統(tǒng)的啟動(dòng)流程。在按下電源完成自檢后，電腦將執(zhí)行特定的啟動(dòng)代碼，包括配置處理器、內(nèi)存和硬件外圍設(shè)備，以便為啟動(dòng)操作系統(tǒng)做準(zhǔn)備。對于所有操作系統(tǒng)（包括Linux、Unix、Windows）此過程都是一樣的，之后將啟動(dòng)系統(tǒng)，在切換到操作系統(tǒng)加載程序之前，固件將檢查硬件外圍設(shè)備（如網(wǎng)卡、存儲(chǔ)設(shè)備或視頻卡）中固件代碼的簽名。此設(shè)備代碼稱為“可選 ROM”，通過確保該設(shè)備已為切換到操作系統(tǒng)準(zhǔn)備就緒，從而繼續(xù)執(zhí)行配置過程。

在啟動(dòng)過程這一部分中，固件將檢查固件模塊中嵌入的簽名，如果該簽名與固件中的簽名數(shù)據(jù)庫匹配，則將允許執(zhí)行該模塊。這些簽名存儲(chǔ)在固件中的數(shù)據(jù)庫中，這些數(shù)據(jù)庫包含“允許”和“禁止”列表，用于確定是否可繼續(xù)執(zhí)行啟動(dòng)過程。Win8利用UEFI安全啟動(dòng)以及固件中存儲(chǔ)的證書與平臺(tái)固件之間創(chuàng)建一個(gè)信任根。借助 Windows 8的安全啟動(dòng)體系結(jié)構(gòu)及其建立的信任根，通過確保在加載操作系統(tǒng)之前，僅能夠執(zhí)行已簽名并獲得認(rèn)證的“已知安全”代碼和啟動(dòng)加載程序，可以防止用戶在根路徑中執(zhí)行惡意代碼，從而阻止惡意程序通過它的啟動(dòng)代碼啟動(dòng)。

智能窗口技術(shù)

在用戶日常的操作中，最有可能帶來病毒的就是用戶的下載活動(dòng)，惡意程序大多是由于用戶在上網(wǎng)時(shí)通過瀏覽器下載并在其中激活的。因此早在Win7，IE就新增了智能窗口技術(shù)（在Win8中稱之為“Windows SmartScreen篩選器”），用戶（或惡意程序在后臺(tái)）通過IE下載可執(zhí)行程序并試圖運(yùn)行時(shí)，IE就會(huì)彈出一個(gè)提示窗口，通知用戶該選擇哪種操作。由于應(yīng)用程序不僅在IE中運(yùn)行，在日常的操作中我們也會(huì)經(jīng)常在其他位置如資源管理器、某個(gè)文件夾中啟動(dòng)程序。因此在Win8中，微軟將智能窗口技術(shù)擴(kuò)展到了整個(gè)系統(tǒng)中。

智能窗口技術(shù)組成

智能窗口技術(shù)由兩部分組成：網(wǎng)址信譽(yù)檢驗(yàn)系統(tǒng)和文件信譽(yù)檢驗(yàn)系統(tǒng)。

1.網(wǎng)址信譽(yù)檢驗(yàn)系統(tǒng)是用來幫助用戶防范釣魚網(wǎng)站的，微軟會(huì)定期收集最近網(wǎng)絡(luò)出現(xiàn)的各種釣魚網(wǎng)站，并且將其收錄在數(shù)據(jù)庫中。當(dāng)我們在IE啟用SmartScreen技術(shù)后，如果在訪問某一個(gè)網(wǎng)站，假設(shè)這個(gè)網(wǎng)站已經(jīng)被收集在微軟釣魚網(wǎng)站數(shù)據(jù)庫中，IE就會(huì)出現(xiàn)提示，以阻止我們對該網(wǎng)站的訪問，避免我們遭受損失。

當(dāng)然，Win8系統(tǒng)中對于網(wǎng)址的訪問并不僅僅局限于瀏覽器，我們在QQ聊天窗口、WORD文檔，MSN窗口點(diǎn)擊網(wǎng)址鏈接時(shí)，Win8的智能窗口技術(shù)都會(huì)對網(wǎng)址進(jìn)行識(shí)別。

2.文件信譽(yù)檢驗(yàn)系統(tǒng)則可以對文件下載進(jìn)行驗(yàn)證，驗(yàn)證的依據(jù)也是微軟建立的文件數(shù)據(jù)庫。因?yàn)樵谀J(rèn)情況下，Win8系統(tǒng)會(huì)在后臺(tái)將用戶下載與安裝應(yīng)用的所有信息都發(fā)送到微軟的服務(wù)器上。

微軟根據(jù)用戶發(fā)送過來的信息，將收集到的文件在微軟服務(wù)器上建立文件信息數(shù)據(jù)庫，同時(shí)建立對應(yīng)的黑、白名單（對應(yīng)允許和阻止運(yùn)行）。

Win8系統(tǒng)一方面通過網(wǎng)址信譽(yù)檢驗(yàn)系統(tǒng)避免用戶訪問到釣魚網(wǎng)站或者其他惡意網(wǎng)站，以保護(hù)用戶的瀏覽安全；另一方面借助文件信譽(yù)檢驗(yàn)系統(tǒng)，通過收集到的文件信息數(shù)據(jù)庫來識(shí)別用戶下載的應(yīng)用（程序），從而確保用戶在Win8中自動(dòng)運(yùn)行的程序都是安全可靠的。采用智能窗口技術(shù)的Win8相當(dāng)于有了安全軟件的惡意網(wǎng)站攔截功能和下載保護(hù)功能，安全性大大提升！