从诺顿误报看Windows Vista的WRP机制
这次的诺顿误删Windows系统文件,可见系统的安全和稳定绝非操作系统一家的事情,应用程序和安全软件所起到的作用也非常重要。操作系统设计得再完美、再安全,也抵不上应用程序所带来的漏洞。
前段时间的谷歌拼音输入法漏洞,也能说明这个道理。按道理来说,在Winlogon桌面(安全桌面)上的运行应用程序要特别小心,因为这部分的进程并被当作TCB部分(可信计算基础),如果设计不当,会导致严重系统漏洞。但是谷歌输入法在开发时,却还是采用老的API去检查当前桌面是否是Winlogon桌面,所以在Windows Vista上以为自己一直在Default桌面上,故而导致严重漏洞。
诺顿删除Windows系统文件,这是非常可怕的事情,《Windows Internals》告诉我们,如果系统无法正常启动CSRSS、Lsass等重要系统进程,就会出现0xC000021a蓝屏事件。
在Windows Vista下,要出现同样的问题,就比较难了,因为所有的Windows系统文件,都采用WRP机制,就算有管理员权限、甚至SYSTEM权限,都不能随意修改系统文件。而Windows更新则会借助TrustInstaller服务去进行文件更新。