Windows Vista通過許多新功能和改進(jìn)提高了系統(tǒng)的可靠性和您對(duì)系統(tǒng)與應(yīng)用程序問題的診斷能力。例如，內(nèi)核Windows事件跟蹤 (ETW) 記錄程序總是處于運(yùn)行狀態(tài)，能夠生成有關(guān)文件、注冊(cè)表、中斷以及其他活動(dòng)類型的跟蹤事件，并保存在循環(huán)緩沖區(qū)中。當(dāng)出現(xiàn)問題時(shí)，新的 Windows 診斷基礎(chǔ)結(jié)構(gòu) (WDI) 會(huì)捕獲緩沖區(qū)快照，并進(jìn)行本地分析或上載到 Microsoft 支持進(jìn)行故障排除。

新的 Windows 性能和穩(wěn)定性監(jiān)視器可以幫助用戶通過更改系統(tǒng)配置將錯(cuò)誤（如崩潰和掛起）相互關(guān)聯(lián)。強(qiáng)大的系統(tǒng)修復(fù)工具 (SRT) 取代了故障恢復(fù)控制臺(tái)，用于不可啟動(dòng)系統(tǒng)的離線恢復(fù)。

有三個(gè)方面依靠對(duì)系統(tǒng)進(jìn)行的內(nèi)核級(jí)更改，即需要您認(rèn)真閱讀的本文中的以下方面：內(nèi)核事務(wù)管理器 (KTM)、改進(jìn)的崩潰處理和以前的版本。

1.內(nèi)核事務(wù)管理器

軟件開發(fā)中最繁瑣的一個(gè)方面就是處理錯(cuò)誤條件。特別是在進(jìn)行高級(jí)操作的過程中，應(yīng)用程序完成了一個(gè)或多個(gè)導(dǎo)致文件系統(tǒng)或注冊(cè)表更改的子任務(wù)。例如，應(yīng)用程序的軟件更新服務(wù)可能要進(jìn)行幾次注冊(cè)表更新，替換應(yīng)用程序的可執(zhí)行文件之一，而在它嘗試更新第二個(gè)可執(zhí)行文件時(shí)被拒絕訪問。如果服務(wù)不想將應(yīng)用程序留在因此導(dǎo)致的不一致狀態(tài)，就必須跟蹤所有更改并為撤銷它們做好準(zhǔn)備。測(cè)試錯(cuò)誤恢復(fù)代碼很困難，并經(jīng)常跳過，因此恢復(fù)代碼中的錯(cuò)誤會(huì)讓努力徒勞無(wú)功。

為 Windows Vista 編寫的應(yīng)用程序通過使用 NTFS 中新的事務(wù)支持和使用內(nèi)核事務(wù)管理器的注冊(cè)表，不費(fèi)吹灰之力即可獲得自動(dòng)錯(cuò)誤恢復(fù)能力。當(dāng)應(yīng)用程序想進(jìn)行許多相關(guān)更改時(shí)，可以創(chuàng)建分布式事務(wù)處理協(xié)調(diào)器 (DTC) 事務(wù)和 KTM 事務(wù)處理，或直接創(chuàng)建 KTM 處理，并將對(duì)文件和注冊(cè)表項(xiàng)的修改與事務(wù)關(guān)聯(lián)起來(lái)。如果所有的更改成功，應(yīng)用程序會(huì)提交事務(wù)同時(shí)更改生效，但是在此之前任何時(shí)候，應(yīng)用程序可以回滾事務(wù)，然后放棄更改。

其有利因素在于，其他應(yīng)用程序在提交事務(wù)后才能看到事務(wù)中的更改，而在 Windows Vista 和即將問世的 Windows Server（代號(hào)名為“Longhorn”）中使用 DTC 的應(yīng)用程序會(huì)通過 SQL Server、Microsoft Message Queue Server (MSMQ) 以及其他數(shù)據(jù)庫(kù)協(xié)調(diào)其事務(wù)。因此，使用 KTM 事務(wù)的應(yīng)用程序更新服務(wù)永遠(yuǎn)不會(huì)將應(yīng)用程序留在不一致的狀態(tài)。這就是 Windows Update 和系統(tǒng)還原使用事務(wù)的原因。

作為事務(wù)支持的核心，KTM 允許事務(wù)資源管理器（如 NTFS 和注冊(cè)表）對(duì)應(yīng)用程序所做的特定更改協(xié)調(diào)其更新。在 Windows Vista 中，NTFS 使用稱為 TxF 的擴(kuò)展來(lái)支持事務(wù)。注冊(cè)表使用稱為 TxR 的類似擴(kuò)展。這些內(nèi)核模式資源管理器與 KTM 一起協(xié)調(diào)事務(wù)狀態(tài)，正如用戶模式資源管理器使用 DTC 跨多用戶模式資源管理器協(xié)調(diào)事務(wù)狀態(tài)一樣。第三方也可以使用 KTM 實(shí)施其自己的資源管理器。

TxF 和 TxR 都定義了一套新的文件系統(tǒng)和注冊(cè)表 API（與現(xiàn)有的類似，只不過它們包含事務(wù)參數(shù)）。如果應(yīng)用程序想在事務(wù)中創(chuàng)建文件，首先要使用 KTM 創(chuàng)建事務(wù)，然后將引起的事務(wù)處理傳遞給新文件創(chuàng)建 API。

TxF 和 TxR 都依賴在 Windows Server 2003 R2 中引入的公用日志文件系統(tǒng)或 CLFS (%SystemRoot%System32Clfs.sys) 的高速文件系統(tǒng)記錄功能。TxR 和 TxF 使用 CLFS 永久性地存儲(chǔ)提交事務(wù)之前的事務(wù)狀態(tài)更改。這樣可以讓它們提供事務(wù)恢復(fù)并確保即使在斷電時(shí)也可以恢復(fù)。除了 CLFS 日志，TxR 還創(chuàng)建了一組相關(guān)的日志文件，跟蹤 %Systemroot%System32ConfigTxr 中系統(tǒng)注冊(cè)表文件的事務(wù)更改（如圖 1 所示），同時(shí)還為每個(gè)用戶注冊(cè)表配置單元單獨(dú)創(chuàng)建幾組日志文件。TxF 在名為 $Extend$RmMetadata 的卷的隱藏目錄中存儲(chǔ)每個(gè)卷的事務(wù)數(shù)據(jù)。

2.增強(qiáng)的崩潰支持

當(dāng) Windows 遇到不可恢復(fù)的內(nèi)核模式錯(cuò)誤時(shí)（無(wú)論是由于設(shè)備驅(qū)動(dòng)程序錯(cuò)誤、硬件故障還是操作系統(tǒng)問題），在出現(xiàn)“藍(lán)屏死機(jī)”現(xiàn)象和將物理內(nèi)存的部分或所有內(nèi)容寫入崩潰轉(zhuǎn)儲(chǔ)文件（如果配置為執(zhí)行此操作）后，它會(huì)嘗試終止系統(tǒng)來(lái)防止磁盤數(shù)據(jù)的損壞。轉(zhuǎn)儲(chǔ)文件非常有用，因?yàn)楫?dāng)您在系統(tǒng)崩潰后重啟時(shí)，Microsoft 在線崩潰分析 (OCA) 服務(wù)會(huì)分析這些文件找出根本原因。如果愿意，您也可以使用面向 Windows 的 Microsoft 調(diào)試工具自已進(jìn)行分析。

不過，在以前的 Windows 版本中，只有在會(huì)話管理器 (%Systemroot%System32Smss.exe) 進(jìn)程初始化分頁(yè)文件后才會(huì)啟用對(duì)崩潰轉(zhuǎn)儲(chǔ)文件的支持。這意味著在此之前任何嚴(yán)重錯(cuò)誤會(huì)導(dǎo)致藍(lán)屏，但沒有轉(zhuǎn)儲(chǔ)文件。由于在 Smss.exe 啟動(dòng)之前，會(huì)出現(xiàn)大量的設(shè)備驅(qū)動(dòng)程序初始化，所以早期的崩潰永遠(yuǎn)不會(huì)引起崩潰轉(zhuǎn)儲(chǔ)，因此使原因診斷極為困難。

在所有引導(dǎo)啟動(dòng)設(shè)備驅(qū)動(dòng)程序初始化之后，但在系統(tǒng)啟動(dòng)驅(qū)動(dòng)程序加載之前，Windows Vista 通過初始化轉(zhuǎn)儲(chǔ)文件支持，可減少無(wú)轉(zhuǎn)儲(chǔ)文件生成的時(shí)間窗口。由于這一更改，如果在引導(dǎo)過程開始時(shí)出現(xiàn)崩潰，系統(tǒng)就可以捕捉崩潰轉(zhuǎn)儲(chǔ)，讓 OCA 幫助您解決問題。此外，Windows Vista 使用 64KB 塊將數(shù)據(jù)存儲(chǔ)到轉(zhuǎn)儲(chǔ)文件中，而以前的 Windows 版本使用 4KB 塊寫入文件。這一更改使得大型轉(zhuǎn)儲(chǔ)文件的寫入速度最多可提高 10 倍。

應(yīng)用程序崩潰處理功能在 Windows Vista 中也得以改進(jìn)。在以前的 Windows 版本中，當(dāng)應(yīng)用程序崩潰時(shí)，它會(huì)執(zhí)行未處理的異常處理程序。處理程序啟動(dòng) Microsoft 應(yīng)用程序錯(cuò)誤報(bào)告 (AER) 進(jìn)程 (%Systemroot%System32Dwwin.exe)，顯示對(duì)話框，指明程序崩潰，并詢問您是否要向 Microsoft 發(fā)送錯(cuò)誤報(bào)告。不過，如果崩潰時(shí)進(jìn)程主線程的堆棧損壞，未處理的異常處理程序執(zhí)行時(shí)會(huì)崩潰，導(dǎo)致內(nèi)核終止進(jìn)程、程序窗口立即消失，并且沒有錯(cuò)誤報(bào)告窗口。

Windows Vista 將錯(cuò)誤處理從崩潰進(jìn)程的上下文移至新服務(wù)，即 Windows 錯(cuò)誤報(bào)告 (WER)。此服務(wù)由服務(wù)托管進(jìn)程中的 DLL (%Systemroot%System32Wersvc.dll) 實(shí)施。在應(yīng)用程序崩潰時(shí)，它仍然會(huì)執(zhí)行未處理的異常處理程序，但是該處理程序會(huì)向 WER 服務(wù)發(fā)送消息，并且服務(wù)會(huì)啟動(dòng) WER 錯(cuò)誤報(bào)告進(jìn)程 (%Systemroot%System32Werfault.exe) 以顯示錯(cuò)誤報(bào)告對(duì)話框。如果堆棧損壞并且未處理的異常處理程序崩潰，處理程序會(huì)再次執(zhí)行并且再次崩潰，最終消耗所有線程的堆棧（使用內(nèi)存區(qū)域），此時(shí)內(nèi)核會(huì)介入，并向服務(wù)發(fā)送崩潰通知消息。

3.卷影復(fù)制

Windows XP 引入了一種稱為卷影復(fù)制的技術(shù)，可生成磁盤卷的時(shí)間點(diǎn)快照。備份應(yīng)用程序可以使用這些快照生成一致的備份映像，但是快照卻被從視圖中隱藏，并僅保持備份過程所持續(xù)的時(shí)間。

快照實(shí)際上并不是卷的完整副本。更確切地講，它們是較早還原點(diǎn)的卷視圖，由與卷扇區(qū)副本（在生成快照后已更改）重疊的活動(dòng)卷數(shù)據(jù)組成。卷快照提供程序的驅(qū)動(dòng)程序 (%Systemroot%System32DriversVolsnap.sys) 監(jiān)視針對(duì)卷的操作，備份扇區(qū)副本后才允許扇區(qū)更改，將與快照相關(guān)的文件中的原始數(shù)據(jù)存儲(chǔ)到卷的 System Volume Information 目錄中。

Windows Server 2003 使用其共享文件夾的影副本對(duì)服務(wù)器上的管理員和客戶端系統(tǒng)上的用戶公開快照管理。此功能啟用了持續(xù)快照，用戶可通過 Explorer 屬性對(duì)話框中的“以前的版本”選項(xiàng)卡訪問它，因?yàn)槠湮募A和文件位于服務(wù)器的文件共享部分。

Windows Vista“以前的版本”功能為所有客戶端系統(tǒng)提供了此支持，即自動(dòng)創(chuàng)建卷快照（通常每天一次），您可以通過使用共享文件夾影副本所用的相同界面的 Explorer 屬性對(duì)話框訪問快照。這樣可讓您查看、還原或復(fù)制您可能意外修改或刪除的文件和目錄的舊版本。雖然從技術(shù)角度來(lái)講這并不是新技術(shù)，但 Windows Vista“以前的版本”實(shí)施的卷影復(fù)制優(yōu)化了 Windows Server2003在客戶端桌面環(huán)境中使用的功能。

Windows Vista 還充分利用了卷快照，以統(tǒng)一用戶和系統(tǒng)數(shù)據(jù)保護(hù)機(jī)制，避免保存冗余的備份數(shù)據(jù)。當(dāng)應(yīng)用程序安裝或配置更改造成錯(cuò)誤或不合需要的行為時(shí)，您可以使用“系統(tǒng)還原”（在 Windows NT® 系列的操作系統(tǒng) Windows XP 中引入的一項(xiàng)功能）將系統(tǒng)文件和數(shù)據(jù)還原成創(chuàng)建還原點(diǎn)時(shí)其存在的狀態(tài)。

在 Windows XP 中，“系統(tǒng)還原”使用文件系統(tǒng)過濾器驅(qū)動(dòng)程序（可以看到在文件級(jí)別的更改的一種驅(qū)動(dòng)程序類型）在系統(tǒng)文件更改時(shí)備份其副本。在 Windows Vista 中，“系統(tǒng)還原”使用卷快照。當(dāng)您在 Windows Vista 中使用“系統(tǒng)還原”用戶界面返回到還原點(diǎn)時(shí)，您實(shí)際上是從與活動(dòng)卷的還原點(diǎn)關(guān)聯(lián)的快照復(fù)制已修改的系統(tǒng)文件的較早版本。

4.BitLocker

Windows Vista 是迄今為止最安全的 Windows 版本。除了包含 Windows Defender 反間諜軟件引擎外，Windows Vista 還引入了大量的安全和縱深防御功能，包括 BitLocker™ 整卷加密功能、內(nèi)核模式代碼的代碼簽名、受保護(hù)的進(jìn)程、地址空間加載隨機(jī)化以及對(duì) Windows 服務(wù)安全和用戶帳戶控制的改進(jìn)。

操作系統(tǒng)在運(yùn)行時(shí)只能增強(qiáng)其安全策略，因此當(dāng)系統(tǒng)的物理安全可能受到危害和從操作系統(tǒng)之外訪問數(shù)據(jù)時(shí)，您必須采取其他措施保護(hù)數(shù)據(jù)。諸如 BIOS 密碼和加密的基于硬件的機(jī)制，是通常用來(lái)防止未經(jīng)授權(quán)進(jìn)行訪問的兩種技術(shù)，尤其是便攜式計(jì)算機(jī)，最有可能丟失或被盜。

Windows 2000 引入了加密文件系統(tǒng) (EFS)，并且在其 Windows Vista 體現(xiàn)中，EFS 包括了對(duì)以前實(shí)施功能的許多改進(jìn)，包括性能改進(jìn)、支持分頁(yè)文件的加密和在智能卡上存儲(chǔ)用戶 EFS 密鑰。不過，您無(wú)法使用 EFS 保護(hù)對(duì)系統(tǒng)敏感區(qū)域的訪問，如注冊(cè)表配置單元文件。例如，如果組策略允許您登錄到便攜式計(jì)算機(jī)（甚至在沒有連接到域時(shí)），您的域憑據(jù)驗(yàn)證程序會(huì)在注冊(cè)表中緩存，因此攻擊者可以使用工具獲取您的域帳戶密碼哈希，并用來(lái)嘗試使用密碼破解程序獲取您的密碼。密碼會(huì)讓他們有權(quán)訪問您的帳戶和 EFS 文件（假設(shè)您沒有把 EFS 密鑰存儲(chǔ)在智能卡上）。

為了易于加密整個(gè)引導(dǎo)卷（包含 Windows 目錄的卷），包括其所有系統(tǒng)文件和數(shù)據(jù)，Windows Vista 引入了整卷加密功能，稱為 Windows BitLocker 驅(qū)動(dòng)器加密。與由 NTFS 文件系統(tǒng)驅(qū)動(dòng)程序?qū)嵤┎⒃谖募?jí)別操作的 EFS 不同，BitLocker 在卷級(jí)別使用整卷加密 (FVE) 驅(qū)動(dòng)程序 (%Systemroot%System32DriversFvevol.sys) 進(jìn)行加密，如圖 4 中圖解所示。

FVE 是過濾器驅(qū)動(dòng)程序，因此它會(huì)自動(dòng)查看 NTFS 發(fā)送到卷的所有 I/O 請(qǐng)求，在其寫入時(shí)加密塊，在其讀取時(shí)（在初始配置使用 BitLocker 時(shí)，會(huì)使用分配到塊的完整卷加密密鑰 (FVEK) 讀取它們）解密塊。默認(rèn)情況下，使用 128 位 AES 密鑰和 128 位擴(kuò)散器密鑰加密卷。因?yàn)榧用芎徒饷馨l(fā)生在 I/O 系統(tǒng)的 NTFS 之下，所以卷在 NTFS 看來(lái)好象沒有加密，并且 NTFS 甚至不需要知道已啟用了 BitLocker。不過，如果您嘗試從 Windows 外讀取卷上的數(shù)據(jù)，它又看來(lái)象是隨機(jī)數(shù)據(jù)。

FVEK 使用卷主密鑰 (VMK) 加密，并存儲(chǔ)在卷的特殊元數(shù)據(jù)區(qū)域。當(dāng)您配置 BitLocker 時(shí)，會(huì)有許多關(guān)于如何保護(hù) VMK 的選項(xiàng)，取決于系統(tǒng)的硬件功能。如果系統(tǒng)有符合 TPM 規(guī)范 v1.2 的受信任的平臺(tái)模塊 (TPM)，并有相關(guān)的 BIOS 支持，則您可以使用 TPM 加密 VMK（讓系統(tǒng)使用存儲(chǔ)在 TPM 中的密鑰或存儲(chǔ)在 USB 閃存設(shè)備中的密鑰加密 VMK），或使用 TPM 存儲(chǔ)的密鑰和在系統(tǒng)啟動(dòng)時(shí)輸入的 PIN 加密密鑰。對(duì)于沒有 TPM 的系統(tǒng)，BitLocker 提供使用存儲(chǔ)在外部 USB 閃存設(shè)備中的密鑰加密 VMK 的選項(xiàng)。在任何情況下，您都需要一個(gè)未加密的 1.5GB NTFS 系統(tǒng)卷，在該卷中存儲(chǔ)了啟動(dòng)管理器和引導(dǎo)配置數(shù)據(jù)庫(kù) (BCD)。

使用 TPM 的優(yōu)勢(shì)在于，如果 BIOS 或系統(tǒng)啟動(dòng)文件在啟用 BitLocker 后做出更改，BitLocker 會(huì)使用 TPM 功能確保不解密 VMK 和解除對(duì)引導(dǎo)卷的鎖定。當(dāng)您第一次加密系統(tǒng)卷，以及每次對(duì)提及的所有組件執(zhí)行更新時(shí)，BitLocker 會(huì)借助于 TPM 設(shè)備驅(qū)動(dòng)程序 (%Systemroot%System32DriversTpm.sys) 計(jì)算這些組件的 SHA-1 哈希，并將稱為測(cè)量的每個(gè)哈希存儲(chǔ)到不同的 TPM 平臺(tái)配置注冊(cè)表 (PCR)。接下來(lái)，它使用 TPM 密封 VMK，該操作使用存儲(chǔ)在 TPM 中的私鑰加密 TPM 和與 BitLocker 傳遞到 TPM 的其他數(shù)據(jù)一起存儲(chǔ)在 PCR 中的值。然后，BitLocker 將密封的 VMK 和加密的 FVEK 存儲(chǔ)在卷的元數(shù)據(jù)區(qū)域。

當(dāng)系統(tǒng)啟動(dòng)時(shí)，它會(huì)測(cè)量自己的哈希和 PCR 加載代碼，并將哈希寫入 TPM 的第一個(gè) PCR。然后，它哈希 BIOS，并將該測(cè)量存儲(chǔ)到相應(yīng)的 PCR。接下來(lái)，BIOS 按啟動(dòng)序列哈希下一個(gè)組件，即引導(dǎo)卷的主引導(dǎo)記錄 (MBR)，此過程會(huì)一直繼續(xù)，直到測(cè)量操作系統(tǒng)加載器。運(yùn)行的每個(gè)后續(xù)代碼段負(fù)責(zé)測(cè)量其加載的代碼，并將測(cè)量結(jié)果存儲(chǔ)到 TPM 中相應(yīng)的注冊(cè)表。最后，當(dāng)用戶選擇要啟動(dòng)哪個(gè)操作系統(tǒng)時(shí)，啟動(dòng)管理器 (Bootmgr) 會(huì)從卷讀取加密的 VMK，并要求 TPM 取消密封。只有所有測(cè)量與密封 VMK 時(shí)相同時(shí)（包括可選的 PIN），TPM 才成功解密 VMK。

您可以考慮將此方案作為驗(yàn)證鏈，其中啟動(dòng)序列中的每個(gè)組件會(huì)描述 TPM 的下一個(gè)組件。只有所有描述與提供的原始描述相符時(shí)，TPM 才泄露其秘密。因此，即使卸下磁盤并裝到其他系統(tǒng)、使用不同的操作系統(tǒng)啟動(dòng)系統(tǒng)或引導(dǎo)卷上未加密文件遭到破壞，BitLocker 也會(huì)保護(hù)加密數(shù)據(jù)。

5.代碼完整性驗(yàn)證

作為內(nèi)核模式設(shè)備驅(qū)動(dòng)程序執(zhí)行的惡意軟件（包括 rootkit）與內(nèi)核在相同的權(quán)限級(jí)別運(yùn)行，因此最難識(shí)別和刪除。這類惡意軟件可以修改內(nèi)核和其他驅(qū)動(dòng)程序的行為，以便使其變得不可見。內(nèi)核模式代碼功能的 Windows Vista 代碼完整性，也稱為內(nèi)核模式代碼簽名 (KMCS)，僅允許加載由開發(fā)人員發(fā)布和經(jīng)過數(shù)字簽名的設(shè)備驅(qū)動(dòng)程序，這些開發(fā)人員已經(jīng)過為數(shù)不多的證書頒發(fā)機(jī)構(gòu) (CA) 之一的審查。默認(rèn)情況下，KMCS 在 Windows Vista 64 位系統(tǒng)上強(qiáng)制執(zhí)行。

因?yàn)樽C書頒發(fā)機(jī)構(gòu)會(huì)對(duì)其服務(wù)收取費(fèi)用并進(jìn)行基本的背景檢查，如驗(yàn)證業(yè)務(wù)識(shí)別，所以很難產(chǎn)生在 64 位 Windows Vista 上運(yùn)行的匿名內(nèi)核模式惡意軟件。此外，設(shè)法溜過驗(yàn)證進(jìn)程的惡意軟件可能會(huì)留下線索，這些線索在受到危害的系統(tǒng)發(fā)現(xiàn)惡意軟件時(shí)，可以反擊作者。KMCS 還有一些次要的用途，如在懷疑驅(qū)動(dòng)程序有使客戶系統(tǒng)崩潰的錯(cuò)誤和解除高清晰度多媒體內(nèi)容鎖定（我會(huì)在稍后簡(jiǎn)單介紹）時(shí)，會(huì)向 Windows 在線崩潰分析團(tuán)隊(duì)提供聯(lián)系信息。

KMCS 使用 Windows 十多年來(lái)一直采用的公鑰加密技術(shù)，并要求內(nèi)核模式代碼包括由受信任證書頒發(fā)機(jī)構(gòu)之一生成的數(shù)字簽名。如果發(fā)布者將驅(qū)動(dòng)程序提交給 Microsoft Windows 硬件質(zhì)量實(shí)驗(yàn)室 (WHQL)，并且驅(qū)動(dòng)程序通過了可靠性測(cè)試，則 Microsoft 會(huì)充當(dāng)簽署代碼的證書頒發(fā)機(jī)構(gòu)。大多數(shù)發(fā)布者將通過 WHQL 獲得簽名；但是如果驅(qū)動(dòng)程序沒有 WHQL 測(cè)試程序，發(fā)布者不想提交到 WHQL 測(cè)試，或者驅(qū)動(dòng)程序是在系統(tǒng)啟動(dòng)早期加載的引導(dǎo)啟動(dòng)驅(qū)動(dòng)程序，則發(fā)布者必須自己簽署代碼。為此，他們必須首先從 Microsoft 確定為受信任內(nèi)核模式代碼簽名的證書頒發(fā)機(jī)構(gòu)之一獲得代碼簽名證書。然后，作者通過數(shù)字方式哈希代碼，通過使用私鑰進(jìn)行加密來(lái)簽署哈希，并將證書和加密的哈希包含在代碼中。

當(dāng)驅(qū)動(dòng)程序嘗試加載時(shí)，Windows 會(huì)使用存儲(chǔ)在證書中的公鑰解密包含在代碼中的哈希，然后驗(yàn)證哈希與代碼中包含的哈希是否匹配。證書的真實(shí)性也通過相同的方式進(jìn)行檢查，但使用 Windows 附帶的證書頒發(fā)機(jī)構(gòu)的公鑰。

Windows 還檢查相關(guān)的證書鏈，一直檢查到 Windows 啟動(dòng)加載器和操作系統(tǒng)內(nèi)核中嵌入的根頒發(fā)機(jī)構(gòu)之一。嘗試加載未簽名的 64 位驅(qū)動(dòng)程序不應(yīng)該發(fā)生在生產(chǎn)系統(tǒng)，因此不同于“即插即用”管理器（它在指向加載沒有確認(rèn)是否通過 WQHL 測(cè)試簽名的驅(qū)動(dòng)程序時(shí)顯示警告對(duì)話框），64 位 Windows Vista 在阻止加載未簽名驅(qū)動(dòng)程序時(shí)，在無(wú)提示的情況下隨時(shí)將事件寫入代碼完整性應(yīng)用程序事件日志，如圖 5 所示。32 位 Windows Vista 也檢查驅(qū)動(dòng)程序簽名，但允許加載未簽名的驅(qū)動(dòng)程序。阻止它們將會(huì)破壞升級(jí)的 Windows XP 系統(tǒng)（要求在 Windows XP 上加載驅(qū)動(dòng)程序，并且還允許支持僅存在 Windows XP 驅(qū)動(dòng)程序的硬件）。不過，32 位 Windows Vista 還會(huì)在加載未簽名驅(qū)動(dòng)程序時(shí)將事件寫入代碼完整性事件日志。

因?yàn)榇a簽名通常用來(lái)將代碼標(biāo)記為經(jīng)過嚴(yán)格測(cè)試的官方發(fā)行版本，所以發(fā)布者通常并不想對(duì)測(cè)試代碼簽名。因此，Windows Vista 包括可以使用 Bcdedit 工具（在 TechNet 雜志 2007 年 3 月份我的文章中介紹過）啟用和禁用的測(cè)試簽名模式，它將加載使用由內(nèi)部證書頒發(fā)機(jī)構(gòu)生成的測(cè)試證書經(jīng)過數(shù)字簽名的內(nèi)核模式驅(qū)動(dòng)程序。此模式設(shè)計(jì)為供程序員在開發(fā)其代碼時(shí)使用。當(dāng) Windows 處于此模式時(shí)，它會(huì)在桌面上顯示標(biāo)記，如圖中所示。

6.受保護(hù)的進(jìn)程

下一代多媒體內(nèi)容，如 HD-DVD、BluRay 和高級(jí)訪問內(nèi)容系統(tǒng) (AACS) 下許可的其他格式，在以后幾年內(nèi)會(huì)變得更加常見。Windows Vista 包括許多技術(shù)，統(tǒng)稱為受保護(hù)的媒體路徑 (PMP)，AACS 標(biāo)準(zhǔn)要求在播放此類內(nèi)容時(shí)使用這些技術(shù)。PMP 包括受保護(hù)的用戶模式音頻 (PUMA) 和受保護(hù)的視頻路徑 (PVP)，它們一直為音頻和視頻驅(qū)動(dòng)程序及媒體播放機(jī)應(yīng)用程序提供機(jī)制，以防止未授權(quán)軟件或硬件捕獲高清晰度格式的內(nèi)容。

PUMA 和 PVP 定義特定于音頻和視頻播放機(jī)、設(shè)備驅(qū)動(dòng)程序和硬件的接口和支持，但是 PMP 也依賴在 Windows Vista 中引入的一般內(nèi)核機(jī)制，即稱為受保護(hù)的進(jìn)程。受保護(hù)的進(jìn)程以標(biāo)準(zhǔn)的 Windows 進(jìn)程構(gòu)造為基礎(chǔ)，該構(gòu)造封裝了運(yùn)行的可執(zhí)行映像、其 DLL、安全上下文（進(jìn)程運(yùn)行所在的帳戶及其安全權(quán)限），及在進(jìn)程內(nèi)執(zhí)行代碼但阻止某些訪問類型的線程。

標(biāo)準(zhǔn)進(jìn)程實(shí)施訪問控制模式，允許使用“調(diào)試程序”權(quán)限完全訪問進(jìn)程所有者和管理帳戶。完全訪問允許用戶查看和修改進(jìn)程的地址空間，包括映射到進(jìn)程的代碼和數(shù)據(jù)。用戶也可以將線程注入進(jìn)程。這些訪問類型與 PMP 的要求不一致，因?yàn)樗鼈冊(cè)试S未授權(quán)代碼獲取存儲(chǔ)在播放內(nèi)容的進(jìn)程中的高清晰度內(nèi)容和數(shù)字版權(quán)管理 (DRM) 密鑰的訪問權(quán)限。

受保護(hù)的進(jìn)程限制訪問一組受限的信息和進(jìn)程管理界面，包括查詢進(jìn)程的映像名和終止或掛起進(jìn)程。但是，內(nèi)核通過一般的進(jìn)程查詢功能（返回有關(guān)系統(tǒng)上所有進(jìn)程的數(shù)據(jù)）為受保護(hù)的進(jìn)程提供診斷信息，因此不要求直接訪問進(jìn)程。訪問可能會(huì)損壞只允許通過其他受保護(hù)的進(jìn)程訪問的媒體。

此外，為避免從內(nèi)部受到危害，加載到受保護(hù)進(jìn)程的所有可執(zhí)行代碼（包括其可執(zhí)行映像和 DLL）必須由 Microsoft (WHQL) 使用受保護(hù)的環(huán)境 (PE) 標(biāo)記簽名，或者（如果是音頻編解碼器）由開發(fā)人員使用從 Microsoft 獲得的 DRM 簽名證書簽名。因?yàn)閮?nèi)核模式代碼可以獲取任何進(jìn)程的完全訪問權(quán)限（包括受保護(hù)的進(jìn)程），并且 32 位 Windows 允許加載未簽名的內(nèi)核模式代碼，所以內(nèi)核可為受保護(hù)的進(jìn)程提供 API，以查詢內(nèi)核模式環(huán)境的“清潔度”，并僅在沒有加載未簽名代碼時(shí)使用結(jié)果解除對(duì)高級(jí)內(nèi)容的鎖定。

沒有特定識(shí)別受保護(hù)進(jìn)程的 API，但是您可以間接地根據(jù)有關(guān)它們的受限信息以及甚至無(wú)法從管理帳戶進(jìn)行調(diào)試來(lái)識(shí)別它們。音頻設(shè)備圖形隔離進(jìn)程 (%Systemroot%System32Audiodg.exe) 用于播放使用內(nèi)容加密系統(tǒng) (CSS) 編碼的 DVD，并在“任務(wù)管理器”窗格中標(biāo)識(shí)為受保護(hù)的進(jìn)程。事實(shí)上，即使使用管理權(quán)限運(yùn)行，任務(wù)管理器也無(wú)法獲得其命令行、虛擬化和數(shù)據(jù)執(zhí)行保護(hù)狀態(tài)。

7.地址空間加載隨機(jī)化

不管采取什么措施，如數(shù)據(jù)執(zhí)行保護(hù)和增強(qiáng)的編譯器錯(cuò)誤檢查，惡意軟件作者都會(huì)繼續(xù)找到緩沖區(qū)溢出漏洞，這些漏洞使他們能夠感染面向網(wǎng)絡(luò)的進(jìn)程（如 Internet Explorer、Windows 服務(wù)及第三方應(yīng)用程序），獲得進(jìn)入系統(tǒng)的立足點(diǎn)。不過，在設(shè)法感染進(jìn)程后，他們必須使用 Windows API 通過修改用戶或系統(tǒng)配置設(shè)置來(lái)完成讀取用戶數(shù)據(jù)或建立永久存在的最終目的。

使用 DLL 導(dǎo)出的 API 入口點(diǎn)連接應(yīng)用程序，通常由操作系統(tǒng)加載器處理，但是這些類型的惡意軟件感染不會(huì)從加載器的服務(wù)中受益。惡意軟件在以前的 Windows 版本中還沒有出現(xiàn)過此類問題，因?yàn)閷?duì)于任何特定的 Windows 版本，系統(tǒng)可執(zhí)行映像和 DLL 總在同一個(gè)位置加載，讓惡意軟件假定 API 駐留在固定的地址。

Windows Vista 地址空間加載隨機(jī)化 (ASLR) 功能使惡意軟件不可能知道 API 的位置，方法是通過每次系統(tǒng)啟動(dòng)時(shí)在不同位置加載系統(tǒng) DLL 和可執(zhí)行文件。在啟動(dòng)進(jìn)程早期，內(nèi)存管理器會(huì)從用戶模式地址空間頂部 16MB 區(qū)域的 256 個(gè) 64KB 對(duì)齊地址中隨機(jī)選取一個(gè)作為 DLL 映像加載偏差。由于在映像標(biāo)頭中有新的動(dòng)態(tài)重新定位標(biāo)記的 DLL 加載到進(jìn)程中，因此內(nèi)存管理器會(huì)從映像加載偏差地址開始并繼續(xù)將 DLL 選取到內(nèi)存中。

具有標(biāo)記組的可執(zhí)行文件會(huì)得到類似的處理，在存儲(chǔ)在其映像標(biāo)頭中的 16MB 基本加載地址內(nèi)以隨機(jī)的 64KB 對(duì)齊點(diǎn)加載。此外，如果使用給定的 DLL 或可執(zhí)行文件的所有進(jìn)程卸載后再次加載它，內(nèi)存管理器會(huì)重新選擇一個(gè)隨機(jī)的加載位置。圖 7 所示為一個(gè) 32 位 Windows Vista 系統(tǒng)的示例地址空間布局，包括 ASLR 選取映像加載偏差和可執(zhí)行文件加載地址的區(qū)域。

只有具有動(dòng)態(tài)重新定位標(biāo)記的映像（包括所有 Windows Vista DLL 和可執(zhí)行文件）才能重新定位，因?yàn)橐苿?dòng)原有映像可能會(huì)中斷開發(fā)人員對(duì)其映像加載位置所做的內(nèi)部假設(shè)。Visual Studio 2005 SP1 增加了對(duì)設(shè)置標(biāo)記的支持，以便第三方開發(fā)人員可以充分利用 ASLR。

將 DLL 加載地址隨機(jī)分布到 256 個(gè)位置之一，并不會(huì)使惡意軟件猜不出正確的 API 位置，但是它會(huì)嚴(yán)重限制網(wǎng)絡(luò)蠕蟲傳播的速度，并且可以阻止僅有一次機(jī)會(huì)感染系統(tǒng)的惡意軟件以可靠地運(yùn)行。此外，ASLR 的重新定位策略的第二個(gè)好處是，地址空間壓縮比在以前的 Windows 版本上的更加緊密，為連續(xù)內(nèi)存分配創(chuàng)建更大的可用內(nèi)存區(qū)域，減少內(nèi)存管理分配以跟蹤地址空間布局的頁(yè)表數(shù)，以及最小化轉(zhuǎn)換旁路緩沖器 (TLB) 遺漏。

8.服務(wù)安全性改進(jìn)

Windows 服務(wù)成為理想的惡意軟件目標(biāo)。許多服務(wù)都提供通過網(wǎng)絡(luò)訪問其功能，這很可能會(huì)暴露遠(yuǎn)程可利用的訪問系統(tǒng)的機(jī)會(huì)，而大多數(shù)服務(wù)運(yùn)行都使用比標(biāo)準(zhǔn)用戶帳戶更多的權(quán)限，如果它們被惡意軟件利用，則會(huì)提供在本地系統(tǒng)上提升權(quán)限的機(jī)會(huì)。因此，Windows 以在 Windows XP SP2 中所做的更改為始不斷完善，將權(quán)限和對(duì)指定服務(wù)的訪問權(quán)限降為僅其角色需要的權(quán)限。例如，Windows XP SP2 引入了本地服務(wù)和網(wǎng)絡(luò)服務(wù)帳戶（僅包括服務(wù)以前一直運(yùn)行的本地系統(tǒng)帳戶權(quán)限的子集）。這樣可以在利用服務(wù)時(shí)最小化攻擊者獲取的訪問權(quán)限。

通過使用像 Sysinternals 提供的 Process Explorer 一樣的工具，在兩個(gè)不同的引導(dǎo)會(huì)話中比較進(jìn)程的 DLL 加載地址，您可以很容易看到 ASLR 的效果。在從兩個(gè)不同會(huì)話截取的這兩個(gè)屏幕快照中，Ntdll.dll 首先在地址 0x77A30000、然后在地址 0x77750000 加載到 Explorer。在以前的文章中，就介紹了服務(wù)如何在其會(huì)話中與用戶帳戶分開運(yùn)行，但是 Windows Vista 還通過進(jìn)一步降低分配給大多數(shù)服務(wù)對(duì)文件、注冊(cè)表項(xiàng)及防火墻端口的權(quán)限和訪問權(quán)限，以擴(kuò)大其最小權(quán)限原則的使用。Windows Vista 為每種服務(wù)定義了一組唯一的新帳戶，稱為服務(wù)安全標(biāo)識(shí)符 (SID)。服務(wù)可以對(duì)其資源設(shè)置權(quán)限，這樣只有其服務(wù) SID 擁有訪問權(quán)限，避免在服務(wù)出現(xiàn)安全漏洞時(shí)以相同用戶帳戶運(yùn)行的其他服務(wù)擁有訪問權(quán)限。您可以使用 sc showsid 命令后接服務(wù)名稱來(lái)查看服務(wù)的 SID，如圖 8 所示。

服務(wù) SID 保護(hù)對(duì)特定服務(wù)所擁有資源的訪問權(quán)限，但默認(rèn)情況下，服務(wù)對(duì)其運(yùn)行的用戶帳戶可以訪問的所有對(duì)象仍有訪問權(quán)限。例如，在“本地服務(wù)”帳戶中運(yùn)行的服務(wù)可能無(wú)法訪問在不同進(jìn)程（該進(jìn)程使用參考服務(wù) SID 的權(quán)限保護(hù)其對(duì)象）中以“本地服務(wù)”運(yùn)行的另一服務(wù)創(chuàng)建的資源；但是，它仍可以讀取和寫入“本地服務(wù)”（以及“本地服務(wù)”所屬的任何組，如“服務(wù)組”）有權(quán)訪問的任何對(duì)象。

因此，Windows Vista 引入了稱為限制寫入服務(wù)的新受限服務(wù)類型，可讓服務(wù)僅對(duì)其服務(wù) SID、Everyone 組及分配到登錄會(huì)話的 SID 可訪問的對(duì)象允許寫入訪問權(quán)限。為了實(shí)現(xiàn)這一點(diǎn)，它會(huì)使用重新引入 Windows 2000 的受限 SID 類型。當(dāng)打開對(duì)象的進(jìn)程是限制寫入服務(wù)時(shí)，訪問 - 檢查算法會(huì)發(fā)生變化，這樣尚未以受限和非受限方式分配到進(jìn)程的 SID 就無(wú)法用來(lái)為進(jìn)程授予對(duì)象的寫入權(quán)限。您可以使用以下命令查看服務(wù)是否受限：sc qsidtype [service]

另一個(gè)變化是讓服務(wù)更容易阻止在相同帳戶中運(yùn)行的其他服務(wù)對(duì)其創(chuàng)建的服務(wù)擁有訪問權(quán)限。在以前的 Windows 版本中，對(duì)象的創(chuàng)建者也是對(duì)象的所有者，而且所有者能夠讀取和更改其對(duì)象的權(quán)限，允許其對(duì)自己對(duì)象的完全訪問權(quán)限。Windows Vista 引入了新的所有者權(quán)限 SID，如果在對(duì)象的權(quán)限中存在 SID，則 SID 可以限制所有者對(duì)其對(duì)象的訪問權(quán)限，甚至?xí)h除設(shè)置和查詢權(quán)限的權(quán)利。

對(duì) Windows Vista 中服務(wù)安全模式的進(jìn)一步改進(jìn)，可以讓服務(wù)開發(fā)人員確切地指定當(dāng)服務(wù)在系統(tǒng)上注冊(cè)時(shí)，此服務(wù)需要什么安全權(quán)限才能操作。例如，如果服務(wù)需要生成審核事件，它就可以列出“審核”權(quán)限。

當(dāng)“服務(wù)控制管理器”啟動(dòng)托管一個(gè)或多個(gè) Windows 服務(wù)的進(jìn)程時(shí)，它就為在該進(jìn)程中僅包括服務(wù)所需權(quán)限的進(jìn)程創(chuàng)建了一個(gè)安全令牌（列出進(jìn)程用戶帳戶、組成員身份和安全權(quán)限的內(nèi)核對(duì)象）。如果服務(wù)指定了其運(yùn)行的帳戶不可用的權(quán)限，則服務(wù)無(wú)法啟動(dòng)。當(dāng)“本地服務(wù)”帳戶進(jìn)程中未運(yùn)行任何需要（例如）“調(diào)試程序”權(quán)限的服務(wù)時(shí)，“服務(wù)控制管理器”會(huì)從進(jìn)程的安全令牌中剝奪此權(quán)限。因此，如果服務(wù)進(jìn)程被破壞，惡意代碼無(wú)法利用進(jìn)程中運(yùn)行的服務(wù)未明確請(qǐng)求的權(quán)限。sc qprivs 命令會(huì)報(bào)告服務(wù)已請(qǐng)求的權(quán)限。

9.查看限制寫入服務(wù)

在 Windows Vista 上只有一種托管服務(wù)進(jìn)程托管受限服務(wù)，您可以使用進(jìn)程查看工具（如 Process Explorer）將它識(shí)別為具有以下命令行的進(jìn)程：svchost -k LocalServiceNoNetwork

配置在此進(jìn)程中運(yùn)行的服務(wù)包括基本篩選引擎、診斷策略服務(wù)、Windows 防火墻、性能日志和警報(bào)及 Windows Media Center 服務(wù)啟動(dòng)程序。

此屏幕顯示文本格式的基本篩選引擎的服務(wù) SID (NT SERVICEBFE)，第一次列出時(shí)有受限標(biāo)記，再次列出時(shí)沒有受限標(biāo)記，因此進(jìn)程對(duì)該帳戶可以訪問的資源擁有訪問權(quán)限。不過，它不必對(duì)“本地服務(wù)”帳戶通常可以訪問的其他對(duì)象擁有訪問權(quán)限。例如，因?yàn)?NT AUTHORITYSERVICE 帳戶不會(huì)在有受限標(biāo)記的進(jìn)程令牌中出現(xiàn)，所以進(jìn)程無(wú)法修改僅對(duì)令牌（有受限標(biāo)記）中此帳戶而不是其他帳戶授予寫入權(quán)限的對(duì)象。

在此進(jìn)程中運(yùn)行的服務(wù)還會(huì)限制其權(quán)限，因?yàn)樵趯傩詫?duì)話框底部列出的權(quán)限是可用于“本地服務(wù)”帳戶的子集。

結(jié)束語(yǔ)

有些功能和改進(jìn)本文沒有涉及或提及，如面向應(yīng)用程序開發(fā)人員的新的工作線程池、新的同步機(jī)制（如共享讀取器/編寫器鎖定）、服務(wù)線程標(biāo)記、對(duì)在線 NTFS 磁盤檢查和卷大小調(diào)整的支持以及稱為高級(jí)本地過程調(diào)用 (ALPC) 的新內(nèi)核 IPC 機(jī)制。