x64位微软Windows内核重要的安全机制简介

最新推荐文章于 2023-03-18 17:20:50 发布
最新推荐文章于 2023-03-18 17:20:50 发布
阅读量3k 收藏 2
点赞数 1
分类专栏: Windows系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xboxmicro/article/details/19428005
版权

Win32 Hook来Hook去很蛋疼……各种Hook 

Irp hook

ssdt hook

idt hook

sssdt hook

sysenter hook

....

还有各种DKOM摘链行为,比如人们喜闻乐见的EPROCESS摘链=。=


hook到都形成了hook链 你hook你的,我hook我的……Win32脆弱的内核安全机制使得rk大行其道,一旦加驱成功,系统基本呵呵...


自从64位出来后,微软开始强制推行两大机制:DSE(Driver Signature Enforcement)和KPP(Kernel Patch Protection),又被俗称PG(Patch Guard)。

DSE要求驱动程序提供可靠的数字签名,才能加载驱动,这也大大增加了内核的安全性——你没正规的数字签名,也没有相应正规的cat文件编录,就别想加载。

PG实际上是把windows的关键内核结构弄成一个表加密压缩后存起来然后定时检查——如果发现有关键内核结构被修改,直接报CRITICAL_STRUCTURE_CORRUPTION蓝屏。

实际上,在win7 x64中,PG只管一些关键数据结构。比如IRP HOOK 和 sssdt hook PG是不检测的——但是sssdt hook 在win8中PG会检测。


总之,正是DSE和KPP机制,使得windows整体安全性大大提升,也大幅减少了蓝屏的出现。但是这样也大幅限制了安全软件的原有技术,很多技术在x64环境下无法实现,于是许多杀软的防御倒退了好几年,如果你试试把它们的驱动拖到IDA——你都会在很多方面上看到惊人的相似之处。







BMOP
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
src_过pg_过windowspg_64位SSDThook实现方法_过PG_
09-30
WINDOWS 过PG后可修改SSDT,实现SSDT hook,采用二次挑战方式实现
驱动开发:内核测试模式过DSE签名
CSDN
10-22 9651
该保护机制的核心就是任何驱动程序或者是第三方驱动如果想要在正常模式下被加载则必须要经过微软的认证,当驱动程序被加载到内存时会验证签名的正确性,如果签名不正常则系统会拒绝运行驱动,这种机制也被称为驱动强制签名,该机制的作用是保护系统免受恶意软件的破坏,是提高系统安全性的一种手段。在Windows操作系统中,为了保护系统安全性,有一个叫做驱动程序签名验证的机制,它的作用是验证驱动程序是否来自受信任的发行者(也就是签名)。置位,则在调试模式下就不会在验证签名了,省去了重复签名的麻烦。保护机制,DSE全称。
Windows Driver Foundation - KMDF 内核模式驱动框架结构 第一部分
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-18 2021
简介 内核模式驱动框架(KMDF)是开发内核模式驱动的基础框架。它提供C语言设备驱动接口(DDI),能用来创建Microsoft® Windows® 2000及以后版本的驱动。本质上,框架就是一个设备驱动架构,可以定制为特定设备。KMDF实现代码来处理常见的驱动需求。驱动定制框架,设置对象属性,注册用来通知重要事件的回调函数,以及包含符合设备特性的代码。 KMDF提供了良好的对象模型,控制
dll oem证书导入工具_内核中的代码完整性:深入分析ci.dll
weixin_39764212的博客
11-24 136
前言在某些场景中,如果我们希望在允许某个进程进行特定动作前,以一种可靠的方式确认该进程是否可信,那么验证该进程的Authenticode签名是一个不错的方式。用户模式下的DLL wintrust提供了专门用于此目的的API。但是,如果我们需要在内核模式下以一种可靠的方式来进行身份验证,这时应该如何进行呢?在以下的情况中,我们可能会遇到这样的场景:1、应用程序用户模式部分不可用,可能是由于正处于开发...
64位驱动签名工具64Signer
Jaylon Wang的专栏
08-27 4063
64位驱动签名工具64Signer 发表于2013 年 5 月 13 日 【作者:张佩】【原始URL:http://www.yiiyee.cn/Blog/64signer/】【下载工具】 背景介绍 微软对于自Vista开始的64位OS有新的数字签名策略,即所有内核驱动都必须是经过可信机构签发过数字证书的,否则系统拒绝加载,其目的是为了加强系统安全防护,使
在Win7x64上加载无签名驱动以及让PatchGuard失效(Win7x64内核越狱)
fyfy
04-11 2709
在Win7x64上加载无签名驱动以及让PatchGuard失效(Win7x64内核越狱) http://www.m5home.com/bbs/thread-5893-1-1.html 此软件的原理是修改内核文件的机器码使得PatchGuard不启动(把原始内核文件复制一份出来才做修改,不是修改原始内核文件),并建立新的内核启动项(新建的内核启动项可以使用msco
Windows保护模式
AppWhite_Star的博客
07-30 1212
Windows保护模式,逆向基础
[笔记]深入解析Windows操作系统《三》系统机制
二次元怪兽的博客
03-18 1413
文章目录前言3.1 陷阱分发3.2 对象管理器3.3 同步3.4系统辅助线程3.5 Windows全局标志3.6 高级本地过程调用3.7 内核事件跟踪3.8 WOW643.9 用户模式调试3.10 映像加载器3.11 超级监督者Hyper-V3.12 内核十五管理器3.13 热补丁支持3.14 内核补丁保护3.15 代码完整性总结 前言 3.1 陷阱分发 3.2 对象管理器 3.3 同步 3.4系统辅助线程 3.5 Windows全局标志 3.6 高级本地过程调用 3.7 内核事件跟踪 3.8 WOW64
Win64 驱动内核编程-10.突破WIN7的PatchGuard
墨鱼菜鸡
12-18 242
突破WIN7的PatchGuard WIN64有两个内核保护机制,KPP和DSE。KPP阻止我们PATCH内核,DSE拦截我们加载驱动。当然KPP和DSE并不是不可战胜的,WIN7X64出来不久,FYYRE就发布了破解内核的工具,后来有个叫做Feryno的人又公开了源...
攻破Win7~Win10 PatchGuard(KPP & DSE)【支持Win10 TH1/TH2/RS1/RS2】【WIN64内核越狱】
热门推荐
zhuhuibeishadiao
01-13 1万+
最新状态:已放弃Win7.Win8,8.1的静态Patch,专注于Win10 PatchGuard. 1.重启内核越狱,支持Win7~Win10 Win10 10.0.10240.0 ~ Win10.10.0.14939.693(2017.1.11更新至693最新版) Win8 6.3.9600.18289 ~ 6.3.9600.18378(已停止更新) Win7 6.1.7601.177
windowsnt 技术内幕
04-09
回顾微软Windows NT域 回顾Windows NT域委托关系 回顾Windows NT目录服务 创建一个高效的Windows NT目录服务结构 决定所需的域控制器的数量 理解在地理上怎样安排域控制器 理解域控制器的大小和速度 计算所需的主域...
360极速浏览器X官方正式版V21.0.1000.0 | 360极速浏览器纯净版下载
10-19
已知高危漏洞得到全部修复,兼容微软最新的Windows 11操作系统,全新的V8 JavaScript编译器Sparkplug 和short builtins 机制的引入,再加上chrome新内核页面JS执行能力,使得64位内核的360极速浏览器X相对于32位360...
Undocumented Windows 2000 Secrets
08-17
Windows 2000利用此机制将对内核服务的请求从用户模式向内核模式传递。另外,Win32K接口和一些与Native API相关的主要运行时库也会被提及,同时还将介绍一些经常使用的数据类型。 有关Windows 2000架构的详细讨论...
OpenSSL-1_0_0d_Win32
04-13
7.Engine机制 Engine机制的出现是在OpenSSL的0.9.6版的事情,开始的时候是将普通版本跟支持Engine的版本分开的,到了OpenSSL的0.9.7版,Engine机制集成到了OpenSSL的内核中,成为了OpenSSL不可缺少的一部分。...
openssl-1.0.0a
06-19
7.Engine机制 Engine机制的出现是在OpenSSL的0.9.6版的事情,开始的时候是将普通版本跟支持Engine的版本分开的,到了OpenSSL的0.9.7版,Engine机制集成到了OpenSSL的内核中,成为了OpenSSL不可缺少的一部分。...
x64 PEB简介 && 有关PEB的一些函数
XboxMicro
02-18 6586
尽管操作PEB BLOCK现在已经没什么价值了,但是PEB BLOCK作为内核的一个重要结构,这里还是提一下: x64 EPROCESS结构 +0x000 Pcb : _KPROCESS +0x160 ProcessLock : _EX_PUSH_LOCK +0x168 CreateTime : _LARGE_INTEGER
WH_CBT监控有窗体的进程创建
XboxMicro
02-26 6259
很久很久以前搜到以前博客的一篇文章,一个项目要求是在Windows Server 2008 x64 R2下监控有窗体的cmd/powershell创建,当时采用了WH_CBT应用层消息拦截的方法来监控进程创建。 1 BOOL WINAPI SetHook(BOOL fInstall) { 2 3 BOOL fOk; 4 if (fInstall) 5 {
EasyHook应用层inline hook实例
XboxMicro
02-26 4612
大名鼎鼎的detour想必大家都知道,可以detour x64微软居然售价9999美刀...(此处省略吐槽一万字) 在此本菜向大家介绍一款美帝的免费开源库EasyHook(inline hook),下面是下载地址 http://easyhook.codeplex.com/releases/view/24401 把头文件 lib文件全拷贝在工程文件夹中,把dll拷贝在%system32%
windows内核安全
最新发布
06-06
Windows内核安全是指保护和维护Windows操作系统内核安全性。内核是操作系统的核心,负责管理和控制计算机的硬件和软件资源,因此内核安全性非常重要。以下是一些 Windows 内核安全的措施: 1. 代码签名:Windows要求所有的内核模块都必须经过数字签名验证,以确保它们是由可信的开发者发布的。这可以防止恶意代码和 rootkit 的注入。 2. 内核保护机制Windows 内核有多种保护机制,包括 DEP(Data Execution Prevention)、ASLR(Address Space Layout Randomization)等,这些机制可以防止攻击者利用内存漏洞进行攻击。 3. 安全增强型启动(Secure Boot):Secure Boot 是一个硬件和操作系统之间的安全机制,它可以确保系统仅启动已签名的操作系统和驱动程序,以防止 bootkit 和 rootkit 的攻击。 4. 虚拟化技术:Windows 内核支持虚拟化技术,可以将内核和应用程序隔离开来,防止恶意代码和 rootkit 的攻击。 5. 安全更新:Microsoft 定期发布安全更新来修复系统漏洞,用户需要及时安装这些更新来保证系统的安全性。 以上是一些常见的 Windows 内核安全措施,但是随着黑客攻击技术的不断进化,保持系统的安全性需要持续的努力和关注。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值