中国DOS联盟

-- 联合DOS 推动DOS 发展DOS --

联盟域名：www.cn-dos.net 论坛域名：www.cn-dos.net/forum
DOS，代表着自由开放与发展，我们努力起来，学习FreeDOS和Linux的自由开放与GNU精神，共同创造和发展美好的自由与GNU GPL世界吧！

游客: 注册 | 登录 | 命令行 | 会员 | 搜索 | 上传 | 帮助 »

中国DOS联盟论坛 » 贴图灌水、文学娱乐专区 » [讨论] 探寻“神奇天窗”的踪迹

红色狂想
金牌会员

龙哥DOS

积分 4289
发帖 1501
注册 2003-2-23
来自河南省
状态离线

『楼主』: [讨论] 探寻“神奇天窗”的踪迹

顾名思义，神奇天窗就是我们头顶天空中的一扇窗户，透过这扇窗户可以看到人世间的千事百态，无所不包。以上所述不是神话，而是事实，这是美国中央情报局搞的一套网络信息监听系统，该系统可以监听世界上任何一个人的通讯信息，什么聊天记录，E-Mail等，统统不在话下！自从911之后，美国就非常注意安全，在网络通讯领域也不例外，恐怖分子们也转而开始使用网络来传达命令，鉴于这些原因，中情局就启用了这套系统，以便监听互联网上的有用情报。

有关该系统的详细情况我也不是很了解，还请大家帮我调查一下，该调查项目的名称就是—— 探寻“神奇天窗”的踪迹。谢谢！[em03]

C++C++C++C++C++C++C++C++C++C++C++C++C++C++C++
C++ ☆☆☆ 中国ＤＯＳ联盟成员 ☆☆☆ C++
C++ ★★★ 爱提问的红色狂想 ★★★ C++
C++C++C++C++C++C++C++C++C++C++C++C++C++C++C++

2003-11-12 00:00

(189236106)

tdj
银牌会员

论坛候鸟

积分 1131
发帖 332
注册 2003-11-27
状态离线

『第 2 楼』:

本文档由XFILES信息安全小组维护，转载请保留出处
HTTP://202.96.211.193/xfiles

微软在Windows中安装美国间谍

近来常看到Hotmail被黑、IE浏览器漏洞百出的报导，微软在计算机安全方面的记
录是非常糟糕。作为用户的我们，大部分人已经对这些小漏洞习以为常。但是我
们发现在每一个微软出售的的Windows拷贝中，都存在着一个给美国国家安全局(
NSA-美国的间谍机构)提供的后门，从而使美国政府可以简单地访问你的计算机，
你会怎么想呢？

在研究 Windows NT 4 安全子系统时，Cryptonym公司的首席科学家Andrew Fern
andes发现在Win95/98/NT4.0和Windows 2000中存在为美国国家安全局提供的一个
后门。该后门表明微软的加密API(CryptoAPI)结构存在安全漏洞。由于加密API是
Windows安全体系的基石，任何的漏洞都将导致Windows遭受外来的电子攻击。

在CryptoAPI中，我们知道Windows用“加密公钥”在使用CryptoAPI的模块之前来
验证这一模块的一致性。

而在WindowsNT4的补丁5中，微软犯了一个严重的“错误”，忘记将识别安全部件
的符号信息移去。这使得Andrew发现了Windows系统中存在两个密钥，一个属于微
软，用以认证加密API服务，另一属于美国国家安全局，从而也允许它调用加密A
PI服务，从而无需你的许可访问你的机器。

结果是，美国国家安全局可以轻而易举地无需经过认证调用所有Windows系统的安
全服务。一旦这些服务启动，他们可以完全控制你的机器。对于使用WindowsNT进
行安全数据服务的非美国用户而言，这是十分令人担忧地。美国政府正尽量使在
美国之外其它国家很难采用“强”加密技术。他们在世界最流行的操作系统中安
装安全后门将给我们带来强烈震撼。

然而，在这个坏消息中有个好消息。在实现这个“加密认证”功能中也存在一个
安全问题。加密认证启动后，用户可以简单地删除或替换“美国国家安全局”密
钥而不破坏操作系统。由于“美国国家安全局”密钥可以被轻易替换掉，非美国
的用户可以方便地在Windows中安装一个更强的加密服务，而无需经过微软与“美
国国家安全局”的同意。一个取代“国家安全局”密钥的程序可以在HTPP…. 中
取得。

技术细节

微软加密API概况

微软加密API(CryptoAPI)允许独立软件开发商(ISV)动态地加载加密模块（CSP）
：

Windows对加密模块进行签名认证的这一体系结构允许在操作系统中加入不同的加
密实现方法。除非你同意接受美国的出口许可，否则微软不会对你的加密模块提
供数字签名。换言之，微软从不允许非美国的公司在Windows中加入强加密服务。

幸运地是，在这个图中的“加密服务提供者”的数字签名程序有一个安全问题。

漏洞是怎么发现的

使用NT4服务器，补丁5(美国版，128位加密版)，Visual C++ 6，补丁3。同样的
结果可以在Win95osr2, Win98, Win98黄金版，WinNT4(所有版本),与Windows200
0(到预发布版1为止)

通过调试器可以看到：

在加密服务提供者装载前在动态连接库 ADVAPI32.DLL 中
地址 0x77DF5530 A9 F1 CB 3F DB 97 F5 ... ... ...
地址 0x77DF55D0 90 C6 5F 68 6B 9B D4 ... ... ...

在RC4加密方法使用后可以看到
A2 17 9C 98 CA    R S A 1 ... 00 01 00 01 ...（看起来像RSA密钥）
A0 15 9E 9A CB    R S A 1 ... 00 01 00 01 ...（看起来像RSA密钥）

检查SP5的补丁中的符号表在"_CProvVerifyImage@8"  中
地址 0x77DF5530    标记为“_KEY”
地址 0x77DF55D0 标记为 “_NSAKEY”

为什么人们认为这是一个“间谍密钥”呢？

1．这个密钥令人吃惊地叫候选作“NSA密钥”,  即为美国国家安全局National
Security Agency 的缩写“NSA”；
2．在Windows中存在这第二个密钥是从不为人知的；
3．这第二个密钥是用来干什么的呢？
4．根据微软的说法，这是一个“备用”的密钥，该密钥是应美国国家安全局要
求设立的。

安全问题

解决方法

将 "_KEY"换成你自已的密钥
但是Windows 将停止工作因为它不能验证它自身的安全子系统。

好一点的解决方法

将 "_NSAKEY"换成你自已的密钥
但是Windows 可以继续工作因为微软的密钥还在；
但是“国家安全局”不能进来因为他们的密钥已经被更改了；
而用户可以将自已的加密模块装载进来。

2003-12-29 00:00

红色狂想
金牌会员

龙哥DOS

积分 4289
发帖 1501
注册 2003-2-23
来自河南省
状态离线

『第 3 楼』:

好好好！

2003-12-30 00:00

(189236106)

请注意：您目前尚未注册或登录，请您注册或登录以使用论坛的各项功能，例如发表和回复帖子等。

可打印版本 | 推荐给朋友 | 订阅主题 | 收藏主题

论坛跳转: