Артем Баранов

За всю историю своей эволюции ядро NT постоянно развивалось. Ему прививались различные технологии защиты. О внутреннем устройстве этих технологий известно немного. А между тем они серьезно различаются как от версии к версии NT, так и на разных машинах. К тому же они далеко не совершенны, что и подтверждается растущим числом атак на ядро.

Ядро операционной системы – это тот программный модуль или набор модулей, который предоставляет минимум базовых возможностей операционной системы, без которых она работать не может. Также ядро ответственно за распределение ресурсов, что является одной из важнейших функций операционной системы. Поэтому если целостность ядра нарушается, нарушается работа всей системы. Соответственно ядру нужно предоставить какой-то уровень защиты, чтобы драйверы, содержащие в себе «жучки», не смогли бы повредить код или данные ядра операционной системы.

На Intel x386 NT может работать в пользовательском режиме и режиме ядра. Соответственно потоки самой ОС работают в привилегированном режиме, а потоки приложений – в пользовательском режиме. Таким образом, из четырех уровней защиты процессора NT пользуется только двумя. В x386 режим работы процессора характеризуется селектором в регистре CS, а точнее, его первыми двумя битами, которые и определяют CPL кода. Пользовательские приложения для перехода в нулевое кольцо используют либо инструкцию int 0x2e, либо оптимизированную sysenter. Сам код, который эти инструкции и вызывает, расположен на Native-уровне, т.е. между ядром и подсистемой Win32 (см. рис. 1).

Рисунок 1. Обработка системного сервиса NT