近兩年，熊貓燒香、灰鴿子、磁碟機等不斷衍生，其變種更是呈幾何級數(shù)地增長，令傳統(tǒng)安全產(chǎn)品疲于應(yīng)付；在破壞性方面，從網(wǎng)絡(luò)擁堵到感染可執(zhí)行文件，再到擊破硬盤還原等等，給信息系統(tǒng)帶來了巨大的損失。其中，最具摧毀性的無疑是root kit類攻擊工具，因為它是基于操作系統(tǒng)內(nèi)核級的，危及面覆蓋信息系統(tǒng)里的所有業(yè)務(wù)應(yīng)用及數(shù)據(jù)，前段時間瘋狂作惡的磁碟機病毒，在侵入系統(tǒng)時就加載了大量root kit組件進行破壞。

Root kit的狠招

系統(tǒng)中病毒時，管理員們通常的做法是查看可疑進程，然后一路追殺到文件目錄進行清除。隨著攻擊技術(shù)水平的提升，像制造疑似系統(tǒng)進程名這樣的初級手段已少有人用，攻擊者往往直接將攻擊進程嵌入系統(tǒng)進程，這時候，只有借助專門的進程管理器（如procexp等）才能發(fā)現(xiàn)。Root kit則更進一步，這種內(nèi)核級后門通過自身的偽裝和隱藏，運行時根本沒有進程顯示。

我們知道，程序運行的時候，系統(tǒng)會在內(nèi)存中寫入一些數(shù)據(jù)結(jié)構(gòu)，進程管理器就是通過這些數(shù)據(jù)結(jié)構(gòu)來顯示進程的。Root kit的做法是在內(nèi)核層修改這些數(shù)據(jù)結(jié)構(gòu)，用自帶的ps、top等程序替代原有系統(tǒng)程序，從而達(dá)到隱藏進程的目的。很顯然，現(xiàn)在再用pslist進程查看工具已經(jīng)無濟于事了。

在隱藏文件時，root kit也是在系統(tǒng)內(nèi)核層做手腳。具體做法是修改內(nèi)核文件系統(tǒng)的代碼，用自己編寫的ls程序來替換，從而使原有的ls文件目錄查看工具形同虛設(shè)。

從以上的分析可以看出，通過修改操作系統(tǒng)的核心服務(wù)（進程管理、文件系統(tǒng)），root kit可以悄無聲息地實施攻擊行為。此外，root kit還有專門的工具來提升權(quán)限，這樣一來，信息系統(tǒng)的控制權(quán)隨時面臨著轉(zhuǎn)手他人的危險。

事實上，黑客們在制作工具時，通常都會考慮到攻擊效率而專門針對操作系統(tǒng)來開發(fā)，很少有針對應(yīng)用程序的。另一方面，操作系統(tǒng)是硬件與軟件之間唯一的交互平臺，擁有硬件設(shè)備及應(yīng)用軟件的唯一控制權(quán)。“匹夫無罪，懷璧其罪”的道理在0與1交互的虛擬世界同樣有效，操作系統(tǒng)特別是服務(wù)器的操作系統(tǒng)岌岌可危。

就像人為了防止生病而增強肌體免疫力一樣，為了抵御面臨的安全風(fēng)險，操作系統(tǒng)同樣需要提升自身的免疫力，其中很重要的一項技術(shù)就是操作系統(tǒng)安全加固技術(shù)，即ROST。

ROST的策略

與root kit一樣，ROST也是系統(tǒng)內(nèi)核級的攻防技術(shù)，其思路是對系統(tǒng)核心服務(wù)（文件系統(tǒng)、過程控制、內(nèi)存控制等）加以控制，在系統(tǒng)用戶層及內(nèi)核層之間構(gòu)筑一道關(guān)卡，根據(jù)事先制定的策略對交互信息進行過濾，從而杜絕了非法用戶對內(nèi)核資源的訪問（包括進程調(diào)用、文件訪問等）。

Windows操作系統(tǒng)分為用戶模式和內(nèi)核模式。用戶模式包括系統(tǒng)支持進程、服務(wù)進程、用戶進程、環(huán)境子系統(tǒng)等，在運行時需要調(diào)用原始的Windows操作系統(tǒng)服務(wù)，其中服務(wù)進程及用戶進程通過子系統(tǒng)動態(tài)連接庫發(fā)起調(diào)用。在內(nèi)核模式中，執(zhí)行體包含了基本的操作系統(tǒng)服務(wù)，比如內(nèi)存管理、進程和線程管理、I/O、網(wǎng)絡(luò)等。Windows內(nèi)核是一組底層的操作系統(tǒng)功能，比如線程調(diào)度、中斷、異常分發(fā)等，執(zhí)行體利用這些例程和對象實現(xiàn)更高層次的功能；設(shè)備驅(qū)動程序包括硬件設(shè)備驅(qū)動程序，文件系統(tǒng)和網(wǎng)絡(luò)驅(qū)動程序，其中硬件設(shè)備驅(qū)動程序?qū)⒂脩舻腎/O函數(shù)調(diào)用轉(zhuǎn)換成特定的硬件設(shè)備I/O請求；硬件抽象層是一層特殊代碼，把內(nèi)核、設(shè)備驅(qū)動程序和Windows執(zhí)行體跟平臺相關(guān)的硬件差異隔離開來。

基于策略的強制訪問控制

ROST技術(shù)的實現(xiàn)，是在內(nèi)核中放置一組安全HOOKS函數(shù)來控制對內(nèi)核對象的訪問。當(dāng)用戶進程向系統(tǒng)發(fā)送調(diào)用請求時，系統(tǒng)首先將消息送給相應(yīng)類別（鼠標(biāo)、系統(tǒng)、線程等）的HOOKS，后者根據(jù)函數(shù)內(nèi)容對消息進判斷，決定是否將其傳送給下一個HOOKS函數(shù)，以此類推，直到傳送到目標(biāo)進程、文件等核心資源。

HOOKS判斷的依據(jù)為事先制定的策略，即HOOKS函數(shù)對文件、進程等操作系統(tǒng)關(guān)鍵客體所做的敏感標(biāo)記。ROST強制訪問控制過濾程序接收到用戶的調(diào)用請求后，將遍歷策略表以對用戶信息（MAC地址、請求內(nèi)容等）進行校檢，符合策略的請求將立即轉(zhuǎn)交原服務(wù)函數(shù)，否則丟棄。在基于策略的強制訪問控制下，攻擊者即使通過root kit或別的工具獲取管理員權(quán)限，也無法再像以前一樣為所欲為。

在開源操作系統(tǒng)Linux中，ROST的實現(xiàn)方法是在內(nèi)核源代碼中放置HOOKS。用戶進程運行時，首先會調(diào)用系統(tǒng)接口，然后進行錯誤檢查和Linux的自主訪問控制檢測，在Linux內(nèi)核試圖對內(nèi)部對象進行訪問之前，一個Linux安全模塊（LSM）的HOOKS對安全模塊所必須提供的函數(shù)進行一個調(diào)用，從而對安全模塊提出訪問請求，安全模塊根據(jù)其安全策略進行決策，做出回答即允許用戶訪問，或者拒絕進而返回一個錯誤。

ROST的實際應(yīng)用

目前，我國在ROST技術(shù)產(chǎn)品化工作方面已取得了一些進展，浪潮服務(wù)器安全加固系統(tǒng)（SSR）就是首款擁有自主產(chǎn)權(quán)的ROST具體產(chǎn)品。該產(chǎn)品在部署初期即對服務(wù)器系統(tǒng)中的文件、進程等指定敏感標(biāo)記，并根據(jù)用戶級別制定了詳細(xì)的強制訪問控制列表，內(nèi)容包含用戶對進程/文件的調(diào)用、進程對文件的調(diào)用等等。在用戶訪問服務(wù)器時，系統(tǒng)會根據(jù)其用戶類型（普通、系統(tǒng)管理員、安全管理員等），遍歷內(nèi)存中存放的標(biāo)記表，決定其對系統(tǒng)資源的訪問權(quán)限，從而實現(xiàn)了強制訪問控制。