Двоичный анализатор BinScope

[アーティクル]
10/29/2009

Введение

Данный документ содержит описание и руководство по применению инструмента Двоичный анализатор BinScope (BinScope Binary Analyzer - BinScope). Документ включает разделы:

· Обзор

· Быстрый старт

· Справочник по BinScope

Обзор

BinScope является инструментом верификации Microsoft, выполняющим анализ двоичных файлов в масштабе всего проекта с целью проверки соответствия требованиям и рекомендациям Microsoft’s Security Development Lifecycle (SDL). BinScope проверяет использование флагов компиляторов и компоновщиков, требуемых SDL, использование сборок со строгим именем, применение актуальных инструментов сборки, а также использование последней редакции заголовочных файлов ATL. BinScope также уведомляет об использовании опасных элементов, запрещаемых SDL.

Каждая проверка BinScope обращена на слабую сторону проекта, которой может воспользоваться атакующий злоумышленник. Выполнение требований, отслеживаемых BinScope не исключает полностью уязвимости проекта, но существенно затрудняет их использование. В дополнение отметим, что меры безопасности эффективны при комбинированном применении. Поскольку проверяемые уязвимости хорошо известны, даже единственная оставленная уязвимость, делает систему такой же незащищенной, как если бы остальные уязвимости также были бы открыты.

BinScope может функционировать как самостоятельное приложение и как дополнение (add-on) Visual Studio.

Проверки безопасности**

BinScope проверят, что при сборке выполнены следующие предварительные требования SDL:

· /GS flag -предотвращение переполнения буфера (вызовы проверки стека);

· /SafeSEH flag - обеспечение безопасной обработки исключений;

· /NXCOMPAT flag - предотвращение исполнения данных;

· /DYNAMICBASE flag - произвольное изменение базового адреса исполняемого образа при загрузке (ASLR);

· Strong-Named Assemblies - использование строгих имен сборок (в частности обеспечивает проверку целостности);

· Использование обновленных средств компиляции и сборки (минимум Visual Studio 2005 и выше);

· Использование проверенных заголовков ATL;

BinScope также выявляет потенциально опасные конструкции, запрещаемые или не рекомендуемые SDL:

· Не поддерживающая GS инициализация;

· Разделяемые области чтения/записи;

· Использование атрибута разрешения вызова с частичными полномочиями (allow partially trusted caller attribute - APTCA) для строгих сборок;

· Глобальные указатели на функции;

· ATLVulnCheck для классов, реализующих IPersistStreamInit (содержащий уязвимости в интерфейсе).

Для более подробной информации по проверкам BinScope, см. Включенные проверки.

Конфигурирование

BinScope позволяет пользователям избирательно включать и выключать проверки, а также добавлять новые проверки в форме отдельных подключаемых модулей (plug-in). По умолчанию:

· В графической оболочке включены все проверки на соответствие требованиям SDL.

· В режиме командной строки выполняются все проверки. Проверки на соответствие только требованям SDL производятся при задании флага /sdl.

ОтчетыBinScope**

BinScope представляет результаты в одной из двух форм, в зависимости от того, работает ли он как отдельное приложение или как дополнительный компонент, интегрированный в Visual Studio.

Результатыотдельногоприложения BinScope

Отдельное приложение BinScope выдает результаты как отчет в формате XML-файла. Преобразование XSL, включенное в дистрибутив BinScope, позволяет просматривать отчет в виде форматированного текста в Internet Explorer. Детальное описание файла отчета содержится в разделе Просмотр результатов.

Серьезность проблемы (Issue Severity)

В применении к SDL выделяются следующие уровни серьезности проблемы:

Level	Severity	Required Action
1	SDL Required	Fix
2	SDL Recommended	Investigate
3	Non Security	Informational only, no action required

ОтчетыинтегрированногосVisual Studio компонентаBinScope

Результаты интегрированного в Visual Studio инструмента BinScope выводятся в окне Output как стандартный вывод, а также передаются в окно Error list в виде списка ошибок. Типичный пример вывода приведен ниже:

Соответствующий список ошибок выглядит примерно так:

ИнтеграциясTeam Foundation Server (TFS)

При нажатии правой кнопки мыши на соответствующей ошибке и выбирается элемент CreateBinScopeWorkitems, появляется предварительно заполненная TFS форма содержащая информацию об ошибке:

Быстрый старт

Для установки BinScope:

1. Убедитесь, что установленная система является последней версией Windows, поддерживаемой Вашим приложением.

2. Убедитесь, что .NET Framework 2.0 или более поздний выпуск установлен на Вашем компьютере.

3. Если планируется интеграция BinScope с Visual Studio, удостоверьтесь что VS 2008 или выше установлена на компьютере.

4. Перейдите по ссылке https://go.microsoft.com/?linkid=9678113 и загрузите BinScopeSetup.msi.

5. Запустите BinScopeSetup . msi. Отобразиться следующее меню опций инсталляции:

6. По умолчанию будут установлены и отдельное приложение и интегрированная с Visual Studio версии BinScope. Если у Вас нет Visual Studio 2008 или планируется установка только изолированного приложения, отключите опциюIntegrateintoVisualStudio 2008 ( ifinstalled ) .

7. Нажмите Next и следуйте инструкциям меню для завершения установки.
Для отдельного приложения BinScope, исполняемый модуль BinScope . exe и связанные файлы будут установлены в каталог по умолчаниюC :\ ProgramFiles \ Microsoft \ (возможен выбор другого каталога) в подкаталог SDLBinScope \ .

Для интегрированного с For Visual Studio компонента BinScope, необходимые файлы будут установлены по умолчанию в каталог C :\ ProgramFiles \ Microsoft \ (возможен выбор другого каталога) в подкаталог SDLBinScopeforVisualStudio\.

Для запуска BinScope (отдельное приложение):

Примечание: Приведенная ниже инструкция показывает, как запустить BinScope используя графический интерфейс. BinScope также может быть стартован из командной строки или из Visual Studio. Детали см. в Использование BinScope.

1. Запустите ярлык BinScope из меню Старт или открыв командное окно в папке с установленным BinScope и наберите BinScope. Окно BinScope представлено ниже:

2. Укажите целевой путь (target path). В качестве цели обычно указывается путь к дистрибутиву продукта или файлу .msi. В последнем случае BinScope разархивирует файлы CAB и MSI и будет анализировать их. Так же может быть указан путь к папке, содержащей несжатые файлы. Во всех случаях убедитесь, что BinScope будет применен ко всем файлам, переданным заказчикам.
Примечание: Кнопка просмотра (“ … ”) для Целевого Пути (target path) позволяет просмотреть информацию для любого бинарного файла. Например:

3. Измените путь по умолчанию для Output Log при необходимости. ПО умолчанию путь указывает на каталог BinScopeLogs\ рабочего стола. Выходные файлы представляют XML-файлы с именем BinScope -< machinename >-< YY >_< MM >_< DD >_< hh >_< mm >_< ss >. xml.

4. В группе Options введите каталог или сервер, содержащий закрытые символы проекта. Закрытые символы содержат полную символьную информацию, в отличие от открытых символов. Все символы содержаться в файлах . pdb. По умолчанию путь задается в переменной среды _ NT _ SYMBOL _ PATH. Если _ NT _ SYMBOL _ PATH не задан, BinScope использует путь SRV ** http :// msdl . microsoft . com / download / symbols.
Примечание: BinScope при поиске символов использует те же самые методы, что и отладчик. Наиболее общим способом указания инструментам отладки нужных символов является задание переменной среды NT _ SYMBOL _ PATH. Для проверки корректности пути используйте symchk . exe из инструментов отладки для Windows (https://www.microsoft.com/whdc/devtools/debugging/debugstart.mspx#a).

5. Задайте проверки, которые планируется выполнить в области Checks. По умолчанию выбраны все проверки, требуемые SDL, а также проверки, относящиеся к ATL. Дополнительно см. Включенные проверки.

6. Нажмите кнопку Run. Возникнет окно Run, начнется процесс сканирования, при этом в окне будет отображаться ход процесса. Сбои и ошибки сканирования будут отображаться по мере появления. Дополнительно см. Просмотр результатов.

7. Откройте закладку Report для просмотра и сохранения отчета. Окно отчета отображает:

Дополнительно см. Viewing Results.

Для запуска BinScope (Дополнение к VisualStudio** ):

1. Убедитесь, что проект собран.

2. При необходимости изменить установки проверок BinScope по умолчанию вызовите форму Tools->Options->Security. По умолчанию BinScope дополнение к Visual Studio включает все проверки, требуемые SDL и, дополнительно, относящиеся ATL.

3. Выберите Tools -> Analyze с BinScope
-или-
Установив указателя мыши на проекте или решении, вызовите через контекстное меню (правая кнопка мыши) Scan с BinScope.
Для каждой проверки в окно Output будут выведены сообщения:

Ошибки будут отражены в окне Error List:

4. Введите ошибку как рабочий элемент в базу ошибок Team Foundation Server Вашего проекта следующим образом:

5. Если Вы еще не присоединены к серверу, выполите команду меню Tools -> ConnecttoTeamFoundationServer.
Возникнет диалог:

6. Выберите сервер для Вашего проекта из выпадающего списка и нажмите OK.
Отобразиться база данных сервера:

7. В окне Error list, нажмите правую кнопку мыши для одной или нескольких ошибок и выберите Create BinScope Workitem(s). Каждый пункт автоматически будет представлен в форме:

8. Заполните форму как требуется. Форма конфигурируется на уровне узла и состав полей может различаться. Приведенная форма содержит поле приоритета, но не важности ошибки, но, возможно Вам это поле потребуется. В любом случае, поскольку по умолчанию проверки проводятся на соответствие требованиям SDL, для нарушений устанавливается уровень важности (Severity) 1. Для каждого элемента выполнитеFile -> SaveNewBug или нажмите ctrl - S для сохранения ошибки.

Справочник BinScope

· Применимость

· Дополнительные инструменты

· Проверяемые требования SDL

· Использование BinScope

· Режим командной строки

· Просмотр результатов

· Включенные проверки

· Проверки BinScope и флаги компилятора/компоновщика

· Известные ошибки

· Часто задаваемые вопросы (FAQ)

Применимость

BinScope функционирует под управлением следующих операционных систем (и сервисных пакетов):

· Windows Server 2003, Windows Vista.

· 32-bit and 64-bit systems.

Матрицаприменимости**

Приведенная ниже матрица показывает, какие проверки к каким типам бинарных файлов могут быть выполнены. Помните, то проверки BinScope не применимы к компилированным файлам help,ресурсным DLL, или DLL не поставляемым с продуктом.

Binary Type	/GS	/SafeSEH	/NXCOMPAT	Non-GS Friendly Init	Read/Write Shared Sections	APTCA	ASLR	ATL Version Check	ATL Vuln Check
Fully Managed	No	Yes	No	No	No	Yes	No	No	No
Partially Managed	Yes	Yes	Yes	Yes	Yes	Yes	Yes
Help File	No	No	No	No	No	No	No	No	No
Resource-Only DLLs (PDBs usually not generated)	No	No	No	No	No	No	No	No	No
64-Bit Unmanaged Binaries	Yes	No	Yes	Yes	Yes	No	Yes	Yes	Yes
Unmanaged Executable	Yes	Yes	Yes	Yes	Yes	No	Yes	Yes	Yes
Kernel Mode Code	Yes	Yes	No	Yes	Yes	No	No	No	No

Дополнительные инструменты

Отсутствуют.

Проверяемые требования SDL

BinScope является основным средством проверки двоичных файлов на соответствие требованиям, определенным для Security Development Lifecycle Verification Phase (https://msdn.microsoft.com/en-us/library/cc307418.aspx).

Следующие проверки устанавливают соответствие требованиям SDL (SDL Implementation phase requirements):

· ATLVersionCheck

· ATLVulnCheck

· /GS

· /SAFESEH

· R/W shared PE sections

· APTCA usage

· ASLR checks

· /NXCOMPAT

· Dynamic Base Check/ASLR

· Strong-named assemblies check

Детали см. Включенные проверки.

Примечание: В случае возникновения обстоятельств, исключающих возможность удовлетворить требованиям SDL для определенного файла, существует возможность исключения файла из списка проверок.

Дополнительные проверки (не SDL)

BinScope может также выполнять проверки требований, не связанных с SDL:

· FP Check (проверка использования глобальных указателей на функции)

Использование BinScope

BinScope может быть использован в режиме GUI, командной строки, или дополнения интегрированного с Visual Studio.

Режим GUI и Visual Studio определен в разделе Быстрый старт. Режим командной строки определен в последующих разделах.

Режим командной строки

Для запуска BinScope в режиме командной строки, откройте окно команд в каталоге с установленным BinScope

Синтаксис командной строки BinScope:

BinScope . exe [< options ] < target >

Опции

Опция	Описание
/(c)hecks check1 check2… checkN	Включенные проверки
/listhecks (/lc)	Открывает графический интерфейс для перечисленных проверок
/target <path>	Целевой каталог
/(o)utput <path>	Каталог вывода результатов
/(s)ympath	Путь к закрытым символам
/(x)slt	Подключение XSLT
/(g)ui	Открыть графический интерфейс BinScope
/sdl	Выполнение только проверок на соответствие требованиям SDL
/(save)config <file>	Сохранить опции в конфигурационном XML-файле
@<config_file>.xml	Использовать опции конфигурационного XML-файла

Просмотр результатов

BinScope отображает результаты различным образом в зависимости от режима запуска.

ВыводизолированногоприложенияBinScope**

Вывод BinScope выполняется в формате XML-файла. Форматированный текст XML-файла отображается на вкладке Report и может быть выведен в Internet Explorer. Следует учесть, что существует три типа сообщений: Failed [Сбой], Didn’t Complete [Ошибка], и Passed [Пройден]:

На вкладке Report приложения BinScope можно просмотреть детали проверок, вызвавших ошибки и сбои:

Как показывает пример, для client.exe не прошла проверка SasfeSEH, поскольку флаг /safeseh не был установлен, и для MRC42D.DLL проверка также не прошла, поскольку файл PDB не был найден.

Только эта форма отчета внутри BinScope может быть использована для получения деталей проверки. Любой другой выходной XML-документ, содержащий отчет, также может быть загружен через элемент Generatereportforcurrentorotherscanresult в левом нижнем углу экрана.

Вывод дополнения ( add - on ), интегрированного с BinScopeVisualStudio

Дополнение BinScope интегрированное с Visual Studio выводит результат в стандартное окно вывода (Output) Visual Studio. Ниже приведен пример содержания сообщений:

BinScope: scanning project output folder c:\COM_project\client\Debug\client.exe

BinScope: using the following checks: GSCheck SafeSEHCheck APTCACheck GSFriendlyInitCheck NXCheck DBCheck SharedSectionCheck CompilerVersionCheck

BinScope: scannning c:\COM_project\client\Debug\client.exe...

BinScope: c:\COM_project\client\Debug\client.exe has PASSED the GSCheck

BinScope: c:\COM_project\client\Debug\client.exe has PASSED the SharedSectionCheck

BinScope: c:\COM_project\client\Debug\client.exe has FAILED the NXCheck

BinScope: c:\COM_project\client\Debug\client.exe has PASSED the GSFriendlyInitCheck

BinScope: c:\COM_project\client\Debug\client.exe has FAILED the SafeSEHCheck

BinScope: No SAFESEH (LOAD_CONFIG absent)

BinScope: c:\COM_project\client\Debug\client.exe has FAILED the DBCheck

BinScope: c:\COM_project\client\Debug\client.exe has PASSED the CompilerVersionCheck