windows resource protection

من در مطلب قبلی این همه گفتم یادم رفت یک مثال بزنم اونم اینکه اگر یک کاربر در سطح high و فایلهای ویندوز در سطح سیستم باشند، یک فایل مهاجم نمیتونه در سطح medium این دو مورد را دستکاری کنه. یعنی اگر هم سیستم را بهم بریزه در سطح medium ساختار اصلی سیستم سالم هستند و تخریب شدید نیست. و برای اینکه پست قبلی رو اینجا تکمیل کنم میگم که فرمت ntfs استفاده کنید چون ntfs به این راحتی اجازه دستبردن در سطح سلامت فایل رو نمیده و همینطور اصلا کلا اجازه حذف و ویرایش هم نمیده البته فایلهای سیستمی رو. نمونه ای که کاملا به چشمتان میخوره اگر دوتا ویندوز داشته باشید و درایو c شما ntfs باشه حتی اگر اون رو فرمت کنید باز میبینید صفحه انتخاب ویندوز ها میاد،  خیلی باحاله ها.
در مطلب قبلی گفتم که در این مطلب در مورد wrp که اسم کاملش در عنوان پست هست توضیح بدم. و الان به قولم وفا میکنم.
طرح ابتدائی در ویندوز ویستا این بود که مایکروسافت میخواست امنیت فایلهای سیستم در این ویندوز را به wic (پست قبلی) بده که نمونه آن در ویندوز ویستا بتا یک بود. با اینحال در طول آزمایش نسخه های بتا شرایط عوض شد. مایکروسافت به مجموع مجوزها و ساختار اصلاح شده محافظت از فایل WRP رسید. wrp رو میشه گفت نسخه تکمیل شده یا بهتر ارتقاء یافته (windows file protection) هست.
http://www.microsoft.com/whdc/archive/wfp.mspx

wfpکه در ویندوزهای ۲۰۰۰ و xp بکار گرفته میشد. wfp با اجرا در پس زمینه و تشخیص تلاشهای که برای جایگزین نمودن فایلهای سیستمی محافظت شده صورت میگرفتند ، از فایلهای سیستمی محافظت میکرد. وقتیکه یک فایل محافظت شده در معرض تهدید جایگزینی قرار میگرفت، به wfp اطلاع میداد و wfp نیز به نوبه خود امضای فایل رو در یک کاتالوگ جستجو میکرد تا مشخص کنه نسخه جدید با استاندارد مایکروسافت مطابقت داره یا نه. اگر مطابق نبود wfp فایل جدید و با نسخه صحیح از فولدر dllcashe که مکانش در فولدر سیستم ۳۲ هست جایگزین میکرد. فولدر dllcashe حاوی یک کپی پشتیبان از تمام فایلهای dll ، exe ، fon ، sys ، tff و تعداد دیگر فایلها هست که من معروفاشو نوشتم.
عملکرد wrp هم تا حدودی مثل همینه مثلا: وقتیکه یک برنامه را نصب میکنید یک فایلی که محافظت شده تلاش میکنه که از windows installer گذر کنه ولی windows installer میدونه نصب آن مجاز نیست، پس به همین ترتیب فایل نصب نمیشه و پیام error را دریافت میکنید. wfp چکار میکرد؟ میومد اجازه نصب میداد ولی بعد undo میکرد که این کارش آخر ورودی رو امضا میکرد و سیستم آلوده میشد. (البته نه به این راحتی ها با مشکلات) این توانایی در wrp پیشرفت کرد و کلیدهای رجیستری به سخت محافظت شدند. windows installer به هیچوجه کلیدهای رجیستری محافظت شده رو تغییر نمیده این بزرگترین خصوصیتش در اینکار هست.
wrp از فایلهای حیاتی ویندوز به شدت محافظت میکنه همین باعث میشه که ساختمان ویستا هیچ وقت خراب نمیشه. جهت اطلاع بیشتر بگم فایلهای حیاتی ویندوز ۹۷ تا هستند من چند تا شونو میگم چون نوشتن ۹۷ تا از حوصله من خارجه  شما رو نمیدونم
از معروفتریناش که میشناسید مثل فایلهای activex که dll و ocx که برنامه نویسان خوب میشناسندشون و فایلهای معروفی مثل bat bin msi exe و چند تا که شما نمیشناسید shs shb man mag hta adp و غیره که زیادند.
wrp حذف کردن یک فایل سیستم رو خیلی دشوار میکنه چون تمامشون سرویسهاش trusted installer هست که شما فقط به عنوان یک admin میتونید مالکیت آنها را بر عهده بگیرید و آنها را ویرایش یا حذف کنید.
و همینطور پشتیبانی که wrp میگیره در فولدر مخصوص که winsxs\backup اسمش هست در فولدر ویندوز قابل ویرایش و حذف نیست.
حالا کم کم متوجه دارید میشید که امنیت شوخی نیست و اینکه تا یک ویروس میگیرید مایکروسافت رو سرزنش نمیکنید. ویروسی شدن کامپیوتر در درجه اول مقصر کاربر آن هست چون ویندوز آخرش یک نرم افزار هست که قدرت فکر کردن نداره.
http://msdn.microsoft.com/en-us/library/cc185681(VS.85).aspx