内核模式调试期间的安全性绝不是保护 目标 计算机。 目标完全容易受到调试器攻击 -- 这是调试的性质。
如果在启动期间启用了调试连接,它将通过调试端口保持易受攻击,直到其下一次启动。
但是,应该关注 主 计算机上的安全性。 在理想情况下,调试器在主计算机上作为应用程序运行,但不与此计算机上的其他应用程序交互。 有三种可能出现安全问题的方法:
如果使用损坏或破坏性的扩展 DLL,可能会导致调试器采取意外动作,从而可能影响主机计算机。
损坏或具有破坏性的符号文件也可能导致调试器采取意外的行动,可能会影响主机。
如果运行的是远程调试会话,则意外的客户端可能会尝试链接到服务器。 或者,你期待的客户可能会尝试执行一些你未曾预料的操作。
如果想要阻止远程用户在主计算机上执行作,请使用 安全模式。
降低风险的一种方法是在隔离的专用网络中,通过本地网络集线器隔离主机和目标。
有关如何防范意外远程连接的建议,请参阅 远程调试期间的安全性。
如果不进行远程调试,仍需警惕有问题的符号文件和扩展 DLL。 不要加载不信任的符号或扩展。
本地内核调试
只有具有调试权限的用户才能启动本地内核调试会话。 如果你是拥有多个用户帐户的计算机的管理员,则应注意,任何拥有这些特权的用户都可以启动本地内核调试会话,从而有效地控制计算机上的所有进程,从而授予他们对所有外围设备的访问权限。