病毒作祟的根源：没有设计出安全的操作系统

柯林

为什么病毒这么多？因为操作系统设计得太烂了，权限管理一塌糊涂，到处都是漏洞，从最根本的模型开始，就是个失败的玩意，虽然修修补补出了UAC，也等同于哄鬼。

安全性比较高的操作系统，应该是个什么样子？方法当然很多，原理只有一个：严格权限管理，阻截非法入侵，结束世间乱象，入道必守其规！可行的模型之一，比如下图所示的《一拖二模型》:


所谓一拖二，就是系统设计成一个实机运行区加上两个虚拟运行区。实机运行区，负责把合法程序（具有合法数字签名和正确哈希值的程序）载入实机运行；没有合法数字签名，或者有合法数字签名但找不到匹配的哈希值的，一律载入虚拟运行区（可由用户选择进入“信任区”还是“非信任区”，用户不答或不知如何做答的，一律自动归入“非信任区”）。

各区的具体权限划分与管理如下——

实机运行区，划分为三大权限区与两层shell
1、最高权限区，也就是系统权限区，赋予系统内核，该内核直接封闭，禁止非内核文件的直接访问与操作；驱动级别的文件，要与系统内核交互，必须借助第一层shell进行传达，由系统判断和回应相关请求（合法者允许，非法者拒绝）。
2、较高权限区，也就是底层操作区，给予硬件驱动及安防软件，以及那些不属于内核部分的系统底层程序，授予低于系统内置最高账户稍低一个层次的权限（意即不可以比肩或等高于系统权限），可以进行绝大部分的底层操作，但不可以直接访问或操作系统内核，更不可以改变系统内核文件与设置，相关中断隶属于系统中断，由系统内核依据内部安全机制进行处理，拒绝绕过系统直接中断写入的行为。该区原则上只授予有限白名单指定的硬件产品与杀毒相关的安防软件产品，对于游戏或个别厂家确实需要写驱动的，应该向操作系统厂商提出申请，获取认证（如不能以充分必要理由获得通过，请不要做无用功，因为届时面临的选择就是——坚持自己的产品，或是另外找个系统来运行你的程序，当然任何时候也持有法律途径的权利，如法院判你胜诉，烦恼也就不存在了），随便一个程序就乱写驱动插入底层的无耻与混乱应该结束了！运行在用户态的程序，要与较高权限的用户驱动程序交互，需要借助2级shell
3、普通程序区，可以安装服务，但不可以安装驱动。后台服务程序拥有部分2级shell的权限，可以同系统指派的用来管理用户级别后台服务的底层程序进行交互。传统上耳熟能详的explorer隶属于2jishell但要通过提权才能达到系统管理员的权限，系统启动时该shell自动运行于users权限；所有普通程序区的程序，除后台服务外，全部隶属于users权限，安装与更新程序除外（系统检测到安装与更新程序时，提示用户提权，如不提权，则无法进行安装）。


虚拟运行区划分为左右两个区，也就是“非信任区”与“信任区”
“非信任区”自动处理“三无程序”，已知恶意的、不合常理的，直接阻止运行；其他未知者给予最低权限（什么坏事也做不了的权限）进行”象征性运行”以免“伤了软件作者的心”！
“信任区”管理用户手动“加白”的文件（对于那些没有合法数字签名，不是出身“名门”的小公司或个人产品，用户确实需要使用的，可以选择“信任”，载入“信任区”进行虚拟执行。“信任区”内的程序可以安装服务，也可以调用系统内的用户程序，以及“访问”部分系统程序，但一切仅止于本区，不可越界：虚拟区内的程序可以访问和控制自己创建的进程，但却永远不可以访问实区内的文件，换句话说，实机运行区内的程序以及相关程序所创建的文件，对于虚拟区内的程序来说不可见，不可访问！

类似于这样的安全性可观的操作系统，什么时候才会出现，俾人不知道，也许当某一天，当微软的设计师醒悟过来，修好被驴踢扁的脑袋，认认真真想一想，怎样才能让计算机世界从灾难与噩梦中解脱出来，设计出高安全性的操作系统也就不是什么难事了。那个时候，天下的“程序猿”们，要做的事也就只有一件，老老实实写程序——好的程序，有用的程序，有益于世界和广大用户的程序，如果做得好，就去努力争取认证吧，拿到“绿卡”，成功的大门就敞开了。如果要写病毒和恶意程序，自己在实验室里或自家电脑上玩玩吧，那东西扔出去就是——泥牛入海，死路一条！

欧阳宣

苦海无尽，回头是岸呐

柯林

欧阳宣 发表于 2016-4-9 07:54
苦海无尽，回头是岸呐

不明所谓！
系统不改进，再拿着什么逗逼的玩意招摇，到头来还是个白痴级别的逗逼！

欧阳宣

柯林 发表于 2016-4-9 07:57
不明所谓！
系统不改进，再拿着什么逗逼的玩意招摇，到头来还是个白痴级别的逗逼！

不水贴了

光就安全性这方面来说，OSX其实是个不错的榜样：但是对应起来的话，这个系统所给予用户的自由同样也是比较少的。

你说的这几个层级，安全性上当然是极好的，但是对应起来API的开放程度和可用程度呢，这其实纳入考虑的话就复杂了

WP无疑最安全，但是又有多少人用呢

li13911

先学完操作系统，再看看windows的设计，就不会这么说了。
从内核和底层上来说，windows的设计要比linux安全的多，也比mac os好的多，之所以能被修改是因为微软的策略问题，其开放了很多，所以才有这么高的市场占有率。就因为有这么高的市场占有率，谁都想分一杯羹，所以才有这么多的病毒。
微软开始收权限了，这些底层的东西慢慢在关闭接口，不允许访问了。X64上的patchguard，应用商店的试水。。。
从技术上来说，微软完全可以做到安全的铜墙铁壁，可到时候谁还用呢？尤其是企业用户。。。总不能我写个企业软件都要经过你微软应用商店审核然后再下载吧

cfhdrty

同感，我用了安卓就有这种想法，安卓不用打补丁，安装软件管理好权限就没事，比hips简单好用多了。卸载软件也比较干净

cfhdrty 发表于 2016-4-9 08:54
同感，我用了安卓就有这种&#24 ...

然而补丁还是需要的。Google每个月都会发布安卓安全补丁，可惜我国大部分手机厂商不怎么跟进。权限管理并不是万能的。通过利用某些漏洞，app可以轻而易举地获取root权限，此时再全面的权限管理也奈何不了它。另外，绝大多数人并不清楚每个权限的具体内涵，在实际操作中，错误的权限设置不仅无法保障安全，反而会造成使用的不便。何况现在许多厂商的rom虽然自带权限管理，然而能管理的权限并不全面。某些应用动辄100+权限申请，adui却只能管理9个，更不要说Android 6.0自带的积积累权限管理，对付某些国产应用几乎束手无策。

cfhdrty

霄栋 发表于 2016-4-9 09:49
然而补丁还是需要的。Google每&#20 ...

安卓的漏洞好像没windows的那么有存在感，至少不会有人觉得安卓2.3不安全，但是用xp就有人觉得不安全了

liu浪的人

li13911 发表于 2016-4-9 08:12
先学完操作系统，再看看windows的设计，就不会这么说了。
从内核和底层上来说，windows的设计要比linux安 ...

同感同感，毕竟微软这么多年和恶意软件打交道也是有相当的经验。
不过看最近微软build2016上的那个样子，微软现在开始要把一些Win32应用程序转制成appx的商店应用了。。比如演示的那个会计应用。

HacPeswl

看这个帖子真是一股民科调调，唉，卡饭也沦落至此了

从来就没有绝对安全的系统，骚年。我就问你，伊朗用来浓缩铀的离心机工控系统该安全吧，那个权限控制怎么也不会比我们用的操作系统差吧。可是震网病毒怎么还是入侵了呢？那个美国的NSA，该很机密吧，怎么还是冒出了一个斯诺登呢？

你要记住，最大的不安全因素始终是人 ，不然社会工程学为什么越来越流行了？像iOS那样封闭的操作系统该安全吧，可是也禁不住用户主动去越狱，去安装不安全的软件

就说这么多， 与其去花时间在卡饭上辩论，还不如去提高自己的知识水平，中国有句古话，叫闷声大发财，识得唔识得？