در این سخنرانی، پاوِل یوسیفویچ، متخصص داخلی ویندوز و مربی TrainSec، به بررسی جلسات ویندوز از درون به بیرون میپردازد. او توضیح میدهد که جلسه چیست و چگونه ویندوز از آنها برای جداسازی فرآیندها، مدیریت دسکتاپها و مدیریت منابعی مانند کلیپبوردها و جداول اتم استفاده میکند. این بررسی عمیق به درک بهتر نحوه عملکرد سیستمعامل ویندوز کمک میکند.
این جلسات، کانتینرهایی برای منابع مشترک بین فرآیندها هستند و هر جلسه فرآیندها و منابع را جدا میکند. Session 0 برای سرویسهای سیستمی، Session 1 برای کاربر محلی و Session 2 برای اتصال دسکتاپ از راه دور استفاده میشود. درک این موضوع برای توسعهدهندگان ویندوز و متخصصان امنیت بسیار مهم است.
یک جلسه ویندوز شامل اجزای مهمی مانند ایستگاههای پنجره (Window Stations)، دسکتاپها، کلیپبورد و جداول اتم است. ایستگاههای پنجره حاوی دسکتاپها هستند و دسکتاپها اشیاء کرنلی هستند که برای نمایش پنجرهها و مدیریت عناصر رابط کاربری استفاده میشوند. کلیپبورد به ازای هر ایستگاه پنجره جدا شده است و جداول اتم رشتهها را به اعداد نگاشت میکنند.
ایجاد ایستگاههای پنجره اضافی میتواند برای جداسازی منابع مانند دادههای کلیپبورد و جداول اتم استفاده شود. این کار از تداخل فرآیندها با یکدیگر جلوگیری میکند و امنیت را با اطمینان از جداسازی زمینههای رابط کاربری افزایش میدهد. این موضوع به ویژه برای کسانی که در زمینه مهندسی معکوس، تجزیه و تحلیل بدافزار یا تحقیقات امنیتی ویندوز فعالیت میکنند، مفید است.
این سخنرانی به عنوان یک پایه برای درک عمیقتر داخلی ویندوز عمل میکند و برای کسانی که به دنبال پیشرفت در زمینههایی مانند مرزهای امنیتی، تزریق بدافزار و تجزیه و تحلیل پزشکی قانونی هستند، ضروری است. ابزارهایی مانند Task Manager و WinObj میتوانند اطلاعاتی در مورد داخلی جلسات ارائه دهند.
مشاهده مطلب اصلی