终端安全防护技术研究（二）

2 终端防护的技术实现

2.1 漏洞检测与修复

计算机信息系统中应用最广的是Windows操作系统，以办公应用和信息系统服务为核心应用的计算机和服务器上运行较广的应用软件包括MS SQL、Office等产品，这些产品的安全漏洞往往成为黑客攻击的目标，容易被攻击者利用发起安全攻击。终端操作系统和软件漏洞检测与修复能力是终端安全防护的基石。
技术实现方面，漏洞检测与修复主要包含补丁检测技术和补丁关联技术。

2.1.1 补丁检测技术

检测Windows补丁安装情况通常有三种方法，一是通过注册表检测，二是使用微软提供的WMI消息接口，三是通过操作系统的命令获取补丁安装列表。
（1）搜索注册表获取补丁安装列表
在Windows的注册表中有如下项HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Updates\Windows XP，这里面有Windows的补丁安装列表。还有HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\HotFix。通过注册表的方式在Windows XP及以前版本工作良好，但是在Vista或者WIN 7版本这种方法不再有效。
（2）通过WMI消息获取补丁安装列表
Windows为每个操作系统补丁都分配了一个补丁编号，Windows提供WMI接口，根据补丁编号查询系统补丁安装情况，通过创建WMI对象检测补丁安装情况。利用WMI不仅可以获得系统安装的SP补丁和HotFix补丁，还可以使用Security Analyzer获得系统的哪些补丁没有安装。Windows系统通过Mssecure.xml文件获得哪些补丁必须安装。
（3）通过Windows命令获取补丁安装列表
当补丁数量不多的情况下该方法可以查询出系统未安装的补丁，但是随着Windows操作系统补丁包的不断发布，Windows操作系统的补丁库越来越庞大，加载所有补丁的方式效率明显不足，因此我们也可以使用系统提供的指令进行补丁安装查询。
在Windows操作系统下通过执行系统命令systeminfo可以获得系统已经安装的补丁列表，将补丁列表与系统补丁库比对即可检测出操作系统未安装的补丁。

2.1.2补丁关联技术

系统补丁修复需要解决补丁冲突和补丁关联等问题，以Windows XP为例，微软在操作系统的补丁数量积累到一定量时会统一发布一个SP补丁，因此Windows XP系统即形成了SP1到SP4四个大的补丁包，因此当系统安装了SP补丁后，该SP补丁所包含的补丁将不需要安装，从而使得补丁之间具有包含关系。
同时，Windows系统的不同补丁之间还存在冲突的关系，有些补丁不能同时安装。为了