Windows Vista 下 UIPI和Windows消息的故事
这篇“故事”文章原本应该在4个月前就发表了,但是由于时间关系一直未能完成,今天终于写完了。由于时间仓促,文中可能含有错误,请各位指出以便修正,谢谢。
全文PDF版本可以在 http://www.KZTechs.com 下载到
演示用的Demo程序可以在 http://www.KZTechs.com/uipistory/uipistorydemo.zip 下载到。
由于排版问题,我这里仅节选一些内容,全文请看PDF版本文件。
一、 什么是UIPI
UIPI指User Interface Privilege Isolation(用户界面特权隔离),是Windows Vista 新引入的一种安全特性。用于拦截接收比自身进程MIC等级还低的进程发来的消息。
根据Windows开发规范,用户自定义的消息ID均大于WM_USER,而且UIPI默认情况下会禁止所有高于WM_USER的消息,换句话说,在Windows Vista里面,如果你试图往一个高于你自身MIC等级的进程发送自定义消息,结果肯定是失败的,除非接收端设定了自定义消息过滤。对于那些低于WM_USER的系统定义的消息,只有选择性的消息会发送成功,对于那些容易引起危险的消息也会被禁止,而且不可更改。
……
二、 UIPI和窗口粉碎攻击
窗口粉碎攻击的方法是利用Windows消息机制,给指定的窗口句柄发送特定的Windows消息。消息发送成功以后,被发送的消息将进入接收方的消息循环里面进行处理。
常见的攻击方法有:发送WM_CLOSE消息让接收方退出。另外,还可以发送WM_SETTEXT给一个窗口设置文字等。
……
三、 UIPI的原理和实例
Windows里面,和窗口消息发送相关的API函数有2大类:SendMessage和PostMessage,这两个函数可以派生出n个类似函数,例如:SendMessageTimeout等。UIPI既然被称为User Interface Privilege Isolation(用户界面特权隔离),那么肯定需要对这2大类函数进行处理了。
……
前面说到,UIPI的本质是检查目标窗口和发送方是否具有相同的MIC等级或者发送方具有更高的MIC等级,如果符合上述条件,则允许消息的传递,否则将消息丢弃。
……
下面以一些例子说明UIPI的具体用途
下面分为6个实验分别讲述各种条件下的MIC和UIPI的关系。
实验一:当Client和Server进程都处于同一个MIC等级的时候
实验二:接收端MIC等级高于发送端情况下的时候
实验三:接收端MIC等级底于发送端情况下的时候
实验四:系统消息的处理
实验五:接收端运行在高MIC等级下,发送端运行在低MIC等级下的情况(消息过滤模式)
实验六:系统消息是否能够自动放行
……
四、 UIPI带来的兼容性问题
虽然UIPI给应用程序的安全带来了不少好处,微软在UIPI兼容性问题上也做了一些处理,但是UIPI还是会带来下面的一些兼容性问题:
……
五、 结论
UIPI的引入,比较有效的解决了窗口粉碎攻击的问题,同时也规范了应用程序开发商的Windows消息开发流程,虽然UIPI会导致一些兼容性问题的出现,但是不可否认的是,UIPI属于一种利大于弊的技术方法。
……
太晚了,先睡觉吧,详情还是看PDF文档吧。
全文PDF版本可以在 http://www.KZTechs.com 下载到
演示用的Demo程序可以在 http://www.KZTechs.com/uipistory/uipistorydemo.zip 下载到。
Smallfrogs
http://www.KZTechs.com