Fenster zur Seele
Windows-Kernel im Überblick
- Der Kernel: So funktioniert Windows
- Windows-Kernel im Überblick
- ASLR
- Windows Debugging-Tool
Windows-Kernel im Überblick
Der Kernel-Modus dagegen läuft "versteckt" im Hintergrund ab, denn als Benutzer merkt man davon erstmal nichts. Aber so ganz lässt sich der Kernel-Modus nicht verbergen, er tritt vor allem bei Problemen in Erscheinung. So kann ein amoklaufender Treiber, berüchtigt sind vor allem TV-Karten- Treiber, im Kernel-Modus das komplette System zum Absturz bringen. Als Benutzer sieht man dann selbst unter Vista noch den bekannten Bluescreen.
Im Kernel befinden sich also jede Menge Treiber. Daneben nimmt die Datei ntoskrnl.exe eine zentrale Rolle ein. Sie lässt sich zum besseren Verständnis nach Funktionen wieder zweiteilen, in Kernel- Schicht und Ausführungsschicht.
Die Kernel-Schicht arbeitet als Verbindungsglied zwischen Benutzer- und Kernel- Modus. Ihre Hauptaufgabe ist das CPU-Scheduling, also die Zuteilung von Prozessor-Zeit zu einzelnen Programmen.
Die Ausführungsschicht dagegen ist für Systemdienste etwa für Plug-and-Play zuständig.
Am tiefsten im System sitzt die Hardware-Abstraktionsschicht (Hardware Abstraction Layer, HAL). Sie stellt den darüber liegenden Schichten des Betriebssystems Dienste bereit, die sie dann auf die tatsächlich verbauten Geräte umsetzt. So ist es etwa der Kernel-Schicht egal, ob sich ein AMD- oder Intel-Prozessor im Computer befindet, wenn die Rechenzeit auf verschiedene Programme verteilt wird. Ohne HAL müsste man für jeden Rechner ein angepasstes Windows verwenden.
Windows-Sicherheit ganz unten
Damit sich Programme nicht von Angreifern manipulieren lassen, ist ein ausgefeiltes Prozess- Management nötig, und das ist eine typische Kernel-Aufgabe. Vista hat extra für den Schutz von Multimedia-Dateien das Prozess-Modell aufgebohrt und einen neuen Typ von Prozessen definiert, so genannte geschützte Prozesse.
Unter Windows werden über die Win32-API Prozesse gestartet und verwaltet. Guckt man in den Kernel, dann erledigt das die NTOS Ausführungsschicht. Verbindung und Zugriff auf die Kernel-Objekte eines Prozesses sind dann die Aufgaben der so genannten Handles. Prozesse dürfen unter Windows wieder neue Prozesse starten.
So kann beispielsweise Word (Prozess 1) ein neues Dokument (Prozess 2) öffnen. Jetzt ist es "normal", dass Word das neue Dokument auch wieder löschen oder verändern kann. Sprich, ein Prozess hat in der Regel die volle Kontrolle über Prozesse, die er selbst gestartet hat. Der Haken an der Sache: Es gibt ein Sicherheitsproblem.
Bei Standardprozessen besteht die Möglichkeit, das Zugriffsmodell auszuhebeln. Möglich macht das die Berechtigung Debuggen von Programmen. Sie erlaubt einem Administrator vollständigen Zugriff auf einen Prozess. So kann man den Adressraum des Prozesses und die im Prozess genutzten Daten auslesen oder ändern.
Angreifer könnten auf diese Art auch neue Threads (Prozessoranweisungen) in den Prozess einfügen. Bei geschützten Prozessen ist das nicht mehr so. Geschützte Prozesse schränken den Zugriff auf die Prozessverwaltung stark ein. Der Kernel stellt zwar auch Diagnoseinformationen für geschützte Prozesse bereit, Direktzugriff gibt es aber nicht.
Aber wie kann etwa ein Codec in den geschützten Prozess geladen werden, der für das Abspielen eines Films nötig ist? Ganz einfach, der komplette ausführbare Code muss vorher digital signiert werden. Geschützte Prozesse sind ein Paradebeispiel dafür, wie sich die angestaubte Windows-Architektur auch für aktuelle Probleme anpassen lässt.
