WINDOWS系统漏洞的基本知识

假如 把系统比作成一个建筑物，那么在这个建筑物中，操作系统（OS）是基础构造 ，为系统提供支持，为建筑物提供支撑作用。应用程序则是建筑物中的房间，或者是房间中的各种设备 ，都是在建筑搭建好的基础架构上实现的，系统用户是建筑物里的住户。门和窗是建筑物里各个房间之间的交互通道，它们是早就设定好的，而漏洞，则是一些本不该存在的门、窗户，或者是墙上莫名出现的一个洞，更有可能是一些会毁坏 建筑物的危险资料 或物品――这些缺陷和问题会使生疏 人侵入建筑物，或者使建筑物遭遇安全要挟 。这就是漏洞，对于系统来说，若出于安全的考虑，就必须最大限度的减少漏洞的存在，由于 它会成为入侵者侵入系统和恶意软件植入的入口，影响我们系统用户的切身利益。

每一个漏洞都是不尽相同的，但依据 其入侵方式的不同，可以将它们分为本地漏洞和远程漏洞。

本地漏洞：

本地漏洞需要. 入侵者应用 自己. 已有的或窃取来的身份，以物理方式访问机器和硬件。在我们的类比中，入侵者要么必须是建筑物中的住户，要么必须冒充 成建筑物中的住户。

远程漏洞：

相比本地漏洞，远程漏洞则不需要. 入侵者出现。攻击者只需要. 向系统发送恶意文件或者恶意数据包就能实现入侵。这就是远程漏洞比本地漏洞更危险的原因。

将漏洞依照 风险级别对其分类，又可分为高风险漏洞、中等风险漏洞或低风险漏洞。风险级别在很大水平 上取决于每个人所采用的标准，迈克菲定义风险是为了让客户清楚地预知将来 将会发作 什么，能提高警觉 。

高风险漏洞：

远程代码执行（RCE）：攻击者可以 充沛 应用 这一风险最高的漏洞来完全控制易受攻击的系统。由于这种漏洞使恶意软件可以 在用户尚未得到正告 的状况 下运行，一些最危险的恶意软件便常常需要. 应用 这种漏洞来发起攻击。若出现针对某一漏洞，系统商提供了安全补丁，这通常意味着这个漏洞就属于高风险漏洞，用户最好不要无视 任何相关正告 。

回绝 服务（DoS）：作为另一种高风险漏洞，DoS会导致易受攻击的程序（甚至硬件）冻结或崩溃。Anonymous Group 就是应用 DoS漏洞发起攻击的。假如 遭到攻击的构造 是路由器、服务器或任何其他网络基础设备 ，不难想象场面 的紊乱 水平 。DoS漏洞的严重性视被隔离的房间而定。比方 和贮藏 室比起来, 浴室或者客厅要重要得多。

中等风险漏洞：

这些漏洞就像“兄弟姐妹”，虽然十分 类似 ，但在具体状况 上存在细微差异 。中等风险包括权限提升（Privilege Escalation）　这对“双胞胎”和它们被称为安全旁路（Security Bypass）　的“兄弟”。

权限提升（PE）：该漏洞使攻击者通常可以 在未取得 合法用户权限的状况 下执行操作。它们之所以被称为“双胞胎”，是由于 可以分为两类：水平 PE 和垂直 PE。水平 PE 使攻击者可以 取得 其他同级别用户所具有 的权限，这类漏洞最常见的攻击出现在论坛。攻击者可以从一个用户账户“跳到”另一个，浏览和修改信息或帖子，但通常只具有 同级别权限。而垂直 PE 则为攻击者提供了更多实际用户希望享有的权限。例如，攻击者从本地用户“跳升”至管理员。从而使攻击者可以 部分或完全进入系统中某些受限制区域，进而施行 毁坏 。

安全旁路（SB）：广义而言，安全旁路与PE 一样，是指攻击者未经答应 就可以执行操作。区别在于，旁路之在连入互联网的系统环境中生效。假如 程序有安全旁路漏洞，会使不安全的流量可以 逃过检测。

中等风险漏洞自身 并不太危险，假如 系统得到妥善保护，不会形成 灾难性的后果。真正的危险在于权限提升和安全旁路产生的连锁响应 。如攻击者以普通用户或来宾身份进入，躲过安全措施，然后安装或更改程序，从而会形成 大量毁坏 。相比远程代码执行，虽然攻击者很难应用 权限提升和安全旁路的方法进入我们的“建筑物”（指系统），但并不是不可能。

低风险漏洞：

信息泄露（ID）：该漏洞使攻击者可以 浏览正常状况 下无法访问的信息。信息泄露是一种低风险漏洞，攻击者只能浏览信息，无法执行其他本质 性操作。假如 想使用这里的信息，攻击者必须应用 其他漏洞或找到关键信息，如密码文件等。不过，我们必须视具体状况 对信息泄露进行剖析 ，由于 它的风险级别十分 容易发作 变化，受攻击的程序、泄露的信息和网络环境的变化都会导致风险等级的变化。比方 ，假如 类似Comodo或DigiNotar的证书颁发机构存在信息泄露显然会导致灾难性后果。信息泄露对存储着十分 重要信息的关键网络或机器同样十分 危险，即便 信息泄露看起来没有那么危险，也不要被表象所迷惑。
  www.gqgtpc.com
虽然 中等风险漏洞和低风险漏洞的危险水平 不及远程代码执行或回绝 服务风险那么高，但我们同样不可漫不经心 。经历 老道的攻击者有时不需要. 应用 这些漏洞就可以形成 毁坏 ，如：窃取知识产权。虽然这些攻击都留下了明显的踪迹，但由于存储在活动日志中的信息量过大，用户只能通过迟缓 且细致的搜索才能发现可疑行迹，同时，我们的用户通常也不会将其作为一项预防性措施。常常 只会在攻击者已形成 毁坏 后才认真 查看。