Windows işletim sisteminde sistem için kritik olan dosyalara erişimler işletim sistemi tarafından sınırlı tutulmuştur. Kritik dosyalar (“C:\Windows\System32\dllhost.exe” gibi) üzerinde değişiklik yapma hakkı TrustedInstaller adlı yüksek yetkili bir servise aittir. TrustedInstaller servisi, kritik dosyalar üzerinde bazı durumlarda güncelleme yetkisine sahiptir. Bu durumlar şunlardır:
- Servis paketi (Service Pack) yükleme
- Hotfix yükleme
- İşletim sistemi yükleme
- Windows güncellemelerini yükleme
Windows Kaynak Koruma (Windows Resource Protection) ile bu dosyaların mevcut özetleri ile en son çalışan sürümlerine ait özetleri karşılaştıran bir servistir. Eğer değişikliğe uğramış bir kritik dosya varsa, WRP servisi, bu dosyaları bilinen en son sağlam sürümlerine geri döndürür. Böylece sistem dosyalarının bütünlüğü korunmuş olur.
Kritik dosyaların en son sürümlerine ait özetleri “%SystemRoot%\System32\CatRoot” dizininde tutulmaktadır. Bu dizindeki özet değerleri SHA-1 ile elde edilmiş olup, Microsoft tarafından sayısal olarak imzalanmıştır.
“%SystemRoot%\winsxs\Backup” dizini içerisinde değişikliğe uğramış olan dosyaların yedekleri bulunmaktadır ve WRP ile değişikliğe uğramış dosyalar bu dizindeki halleri ile değiştirilir. Değişiklik sonrasında Olay Kayıtları’na güvenlik kaydı düşer. Olay ile ilgili özet kayıt “%SystemRoot%\Logs\CBS\CBS.log” içerisinde bulunmaktadır.
Kritik dosyaların üzerindeki değişiklik bilgilerini elde etmek için kullanılabilecek bazı araçlar şunlardır:
- System File Checker (SFC.exe)
- File Signature Verification Tool (SIGVERIF.exe)
- Signature Check Tool (SIGCHECK.exe)
Periyodik olarak bu araçlar kullanılarak kritik sistem dosyaları bütünlük kontrolünden geçirilmelidir. Ayrıca Olay Kayıtları 64001 ve 64002 ID’li kayıtları takip edecek betikler oluşturulmalı veya HIDS gibi araçlar ile bu kayıtlar izlenmelidir.
Kaynak:
http://msdn.microsoft.com/en-us/library/windows/desktop/cc185681(v=vs.85).aspx