操作系统内核是操作系统最核心的部分,负责管理和维护系统的整体运行。当前主流操作系统均采用单内核(Monolithic-kernel)架构,即操作系统内核和内核模块都运行在同一地址空间。因此,破坏操作系统内核安全最常用的方法是利用系统对外提供的接口向操作系统内核载入恶意内核模块(如内核级Rootkit)。由于内核模块与操作系统内核拥有同样的权限,因此恶意内核模块将不受限制地修改操作系统内核的任何资源,其具体攻击方法包括对内核代码及内核数据进行恶意篡改。一旦操作系统内核遭到恶意内核模块的破坏,上层应用程序的执行流程将可能被攻击者掌控。例如,恶意内核模块通过向键盘驱动程序插入钩子代码的方法来截获用户输入信息,然后将这些信息发送给远程攻击者。
根据美国McAfee Avert实验室的报告[12],2004—2006年间恶意内核模块的数量增加了近600%。此外,McAfee公司还发现有相当数量的恶意程序结合使用了内核扩展模块技术,使得这些程序能够隐藏恶意进程、禁用杀毒软件、阻止程序进行安全升级及将受害主机加入僵尸网络中。
另外,由于基于单内核架构操作系统拥有庞大的代码量(如Linux 2.6内核有超过430万行代码),其本身也可能存在一些安全漏洞,因此,即使载入内核模块的系统接口被管理员禁用了,攻击者仍然可以通过操作系统内核自身的漏洞向内核发起攻击,从而同样达到改变操作系统行为的目的。例如,攻击者可利用内核整数溢出漏洞提升用户程序的权限。(www.xing528.com)
综上所述,操作系统内核安全是上层应用程序安全的基础,其中的任何一个模块被攻破了,都可能导致整个操作系统被攻击者控制。因此,操作系统内核安全是软件安全的重中之重,值得展开深入研究。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
