代碼和數(shù)據(jù)完整性檢查

減少操作系統(tǒng)中代碼可利用性的一種方法是確保代碼和/或數(shù)據(jù)未經(jīng)修改并由受信任的供應(yīng)商提供。例如，多年來，Windows一直采用驅(qū)動程序簽名。一些較新的版本更進一步，使用 硬件和軟件 安全功能 的組合來鎖定計算機，確保它僅運行受信任的代碼/應(yīng)用程序 - 此過程被Microsoft稱為“Device Guard”。 即使是特權(quán)惡意軟件也無法 輕松讓未經(jīng)授權(quán)的應(yīng)用程序 運行，因為  檢查是否允許應(yīng)用程序運行的機制位于硬件輔助虛擬化環(huán)境中。大多數(shù)代碼簽名解決方案將與操作系統(tǒng)擴展關(guān)聯(lián)的數(shù)字簽名相關(guān)聯(lián)， 允許 操作系統(tǒng)檢查代碼的完整性是否完整以及供應(yīng)商 是否合法。類似的過程通常用于更新。

但是，檢查簽名的代碼以及操作系統(tǒng)本身呢 — 我們確定 它 沒有 被 惡意引導(dǎo)工具包篡改嗎？ 確保在引導(dǎo)期間 加載 的系統(tǒng)軟件的完整性涉及 許多步驟 ，主要與引導(dǎo)過程本身的多個步驟有關(guān)。從最早的商用計算機開始，啟動涉及多個階段。即使是  IBM 701， 年代初期流行的計算機，安裝多達 19 次，也已經(jīng)具有這樣的多階段啟動過程，從按下 特殊的“加載”按鈕開始 ，使 系統(tǒng)加載 單個 36 位字 通常來自打孔卡。它將執(zhí)行（部分）這個詞 以加載更多指令，然后開始執(zhí)行這些指令作為“引導(dǎo)程序”。

通常，安全啟動設(shè)備從啟動 啟動過程 的初始“信任根”開始，并且通常基于 硬件，例如，微控制器從內(nèi)部不可變存儲器或根本無法重新編程的內(nèi)部閃存開始執(zhí)行軟件，或者只能通過嚴格的身份驗證和授權(quán)檢查。例如，現(xiàn)代Apple計算機使用單獨的處理器T2安全芯片來為安全啟動等提供硬件信任根，而Google還為此開發(fā)了一種稱為Titan的定制處理器。我們現(xiàn)在將討論硬件信任根如何幫助 驗證 系統(tǒng)是否安全啟動。

啟動通用計算機通常從固件開始，固件啟動一系列階段，以完全啟動的系統(tǒng)結(jié)束。例如， 固件可以加載一個特殊的引導(dǎo)加載程序，然后加載操作系統(tǒng)內(nèi)核，而 操作系統(tǒng)內(nèi)核 又可以 加載額外的引導(dǎo)   驅(qū)動程序，直到最終操作系統(tǒng)完全初始化并準備好與用戶或應(yīng)用程序交互。所有這些階段都需要保護。例如，統(tǒng)一可擴展固件接口 （UEFI）可以通過安全啟動來保護第一階段 （即驗證 引導(dǎo)加載程序的完整性）。安全啟動驗證啟動加載程序是否使用 適當?shù)拿荑€進行簽名 ，即使用與固件中存儲的密鑰信息一致的  密鑰。 這將防止沒有 適當簽名的加載程序和驅(qū)動程序獲得對系統(tǒng)的控制。 引導(dǎo)加載程序 現(xiàn)在可以在加載操作系統(tǒng)內(nèi)核 之前 驗證其數(shù)字簽名。接下來，內(nèi)核在啟動操作系統(tǒng) 的 所有其他組件（例如啟動驅(qū)動程序和可能集成的反惡意軟件）之前對其進行驗證。 通過在其他驅(qū)動程序 之前啟動 反惡意軟件程序，它隨后可以檢查所有這些 后續(xù)組件，并將 信任鏈擴展到完全已初始化操作系統(tǒng)。

 下一個問題是：我們怎么 知道是  這種情況？ 換句話說， 我們?nèi)绾沃?nbsp;系統(tǒng) 確實安全啟動 ，并且 我們可以信任 屏幕？這里的訣竅是使用證明，（遠程）方可以檢測到對我們系統(tǒng)所做的任何更改。遠程證明通常使用特殊硬件，例如充當信任根的受信任平臺模塊 （TPM），包括分步驗證系統(tǒng)是否加載了“正確”類型的軟件。特別是，TPM 是一個加密硬件模塊，支持一系列加密功能、密鑰生成 和管理、安全存儲（例如，密鑰和其他 安全 敏感信息），以及重要的完整性測量。有關(guān)進一步討論，請參閱硬件安全CyBOK知識領(lǐng)域[65]。

對于完整性測量，TPM 具有 一組  稱為 PCR-0、PCR-1  的平臺  配置寄存器。 . . ， 在每次引導(dǎo)時 都設(shè)置為已知值。 這些寄存器 不是用于直接寫入 ，而是 用于擴展。因此 ，如果          PCR-0寄存器的當前值為X，并且我們想用Y擴展它，則TPM計算哈希（X，Y）并存儲  PCR-0 的結(jié)果。 現(xiàn)在，如果我們想進一步 擴展它， 比如 使用 Z，  TPM 會再次計算 Z 的   哈希和當前在 中的值，并將結(jié)果存儲在 PCR-0 中。換句話說，它將計算哈希（Z，  哈希（X，Y））。我們現(xiàn)在可以 進一步擴展它 ，并創(chuàng)建一個任意長的“哈希鏈”。

PCR  中的值可以作為  系統(tǒng)處于可信狀態(tài)的證據(jù)。具體而言，引導(dǎo)系統(tǒng)時執(zhí)行的第一個代碼是固件引導(dǎo)代碼，有時稱為用于測量的核心信任根（CRTM） 或 BIOS 引導(dǎo)塊。此代碼將通過生成其內(nèi)容的哈希來“測量”完整固件，在開始執(zhí)行之前，它會將其發(fā)送到 TPM 以擴展 PCR-0。接下來，現(xiàn)在正在執(zhí)行的固件將測量啟動過程的下一個組件，并在執(zhí)行 之前再次將值存儲在TPM的 中 （例如，通過擴展PCR-0）。  經(jīng)過 多個 階段后， PCR寄存器包含 系統(tǒng) 啟動時采取的所有步驟 的哈希鏈。 遠程方 現(xiàn)在 可以通過向  TPM 請求  “報價”來驗證系統(tǒng)是否安全啟動：當前在 PCR  中的 一組 PCR 值的報告  （以及   遠程方 提供的隨機數(shù)），該密鑰使用 TPM 的專用證明標識密鑰  進行簽名 ，該密鑰永遠不會離開 TPM（并且派生自硬編碼    在制造時創(chuàng)建的密鑰）。由于公鑰 是眾所周知 的，因此任何人都可以 驗證報價是否來自TPM。 收到報價并驗證它來自 TPM 并且它是最新的后，遠程方知道啟動過程只能遵循在 PCR中創(chuàng)建這些哈希的步驟.如果它們對應(yīng)于已知和受信任代碼的哈希值，則遠程方知道系統(tǒng)已安全啟動。

代碼和數(shù)據(jù) 完整性檢查很可能會 在運行時繼續(xù)進行。例如，虛擬機管理程序可以提供對其 虛擬機 執(zhí)行自省 的功能：代碼是否仍然相同，數(shù)據(jù)結(jié)構(gòu)是否仍然有意義？此技術(shù)稱為虛擬機偵測（VMI）。 VMI 功能可能駐留在 虛擬機管理程序本身中，盡管它可能位于單獨的應(yīng)用程序中。除了代碼之外，VMI解決方案中要檢查的常見內(nèi)容還包括進程列表（是否有任何 rootkit 試圖隱藏？）、系統(tǒng)調(diào)用表（是否有人劫持特定的系統(tǒng)調(diào)用？）、中斷向量表等。

異常檢測

監(jiān)視器，無論是在虛擬機管理程序還是在操作系統(tǒng)中，也可用于監(jiān)視系統(tǒng)的異常事件 - 異常檢測。例如，連續(xù)崩潰數(shù)百次的系統(tǒng)可能會受到試圖破壞系統(tǒng)地址空間布局隨機化的人的攻擊。當然，沒有確鑿的證據(jù)，僅僅因為 發(fā)生了異常并不意味著有攻擊。異常檢測系統(tǒng)必須在引發(fā)太多錯誤警報（處理成本高昂）和引發(fā)太少（這意味著它錯過實際攻擊）之間取得平衡。