Windows x64内核学习笔记(一)—— 环境与配置

已于 2022-02-24 14:52:36 修改
阅读量2.2k 收藏 9
点赞数 2
分类专栏: x64内核 文章标签: Windows x64 内核
于 2022-02-24 14:52:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41988448/article/details/123095633
版权

Windows x64内核学习笔记(一)—— 环境与配置

前言

之前,跟着海哥学习了windows内核的一些机制,包括保护模式,异常处理,消息机制等等,使用的环境是XP系统。

但是,在实际工作中,面对需要用到x64内核相关的内容时,依旧会感到茫然无措,毕竟脑中的知识只局限在32位内核。

随着时代发展,64位系统未来必将成为主流,但苦于市面上关于x64的教程非常少,因此一直没有机会系统化学习。

前段时间才发现周壑老师出了一套名为「x64内核研究」的教程,不得不说周壑老师真是太牛了。

那么,就让我们一起来学习x64内核吧。

新特性

相较于x32内核而言,x64内核包含以下几个新特性

  1. SMEP / SMAP
    分别为控制寄存器Cr4的两个标志位,用于控制内核对用户层的数据读写与执行的权限。
    例如如果像x32内核一样,在x64中做idt后门,那么可能会产生类似「三重错误」的错误。
  2. KPTI
    内核页表隔离,Win10在2018年初更新的补丁,使得一个进程对应两个Cr3,处理用户层和内核层时拥有两个idt表。
  3. 硬件漏洞(幽灵、熔断)相关(介绍)
  4. CFG(介绍)
  5. Patch Guard
    内核补丁保护,不能随意对x64内核进行patch,否则会触发不定时蓝屏。
  6. DSE强制签名(介绍)

基础要求

  1. C语言
  2. x64汇编
  3. x86保护模式

实验环境

  1. 虚拟机:VMware Workstation(15.1.0)版本及以上
  2. 操作系统:Windows 10 1903 (笔者使用的小版本是18362.356)
  3. 调试器:Windbg(10.0.18362.1)
  4. C语言(x64)开发环境:Visual Studio(2010)版本及以上
  5. 驱动(x64)开发环境:WDK(7600)版本及以上
  6. 其他工具:CE(7.0)版本及以上;DebugView(4.9.0)版本及以上

Guest Win10配置

  1. 由于本次学习不涉及到VT,因此可以把VT支持关掉。
    在这里插入图片描述
  2. 可以调整蓝屏时产生转储文件的大小
    在这里插入图片描述
  3. 转储文件的路径最好也改一下:
    在这里插入图片描述
  4. 开启调试模式和测试模式
    // 1. 查看当前的启动项信息
bcdedit /enum {current}
// 2. 复制一个启动项,并开启调试模式和测试模式
bcdedit /copy {current} /d "Windows Debug Entry"
bcdedit /dbgsettings serial baudrate:115200 debugport:1
//    ID是第一条命令执行后提供的启动项标识符
bcdedit /debug {ID} ON
bcdedit /set {ID} TESTSIGNING on
// 3.(可选)添加一个只禁用驱动签名的启动项
bcdedit /copy {current} /d "Windows Nointegritycheck Entry"
//    ID是上一条命令执行后提供的启动项标识符
bcdedit /set {ID} nointegritychecks on

问题解决

在尝试使用DbgView64监视核心时,可能会报错
在这里插入图片描述

解决方法:关闭UAC

  1. 使用「Command+R」输入「gpedit.msc」,打开本地策略组编辑器。
  2. 依次展开「计算机配置」-「Windows设置」-「安全设置」-「本地策略」-「安全选项」,在具体策略中找到用于账户控制相关配置
    在这里插入图片描述
  3. 将「用户账户控制:以管理员批准模式运行所有管理员」设置为「已禁用」。
    在这里插入图片描述

好了,接下来进行重启,就能够监视核心了,然后就可以在Host OS使用WinDbg进行双机调试了。

参考资料

lzyddf
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WIndows内核学习笔记:分页机制——PAE分页模式
weixin_38526180的博客
07-21 3207
Chapter 4 Paging 4.1 分页模式和控制位 分页控制有关的寄存器 CR0 标志位:WP(bit 16)、PG(bit 31) CR4 标志位:PSE(bit 4)、PAE(bit 5)、PGE(bit 7)、PCIDE(bit 17)、SMEP(bit 20)、SMAP(bit 21)、PKE(bit 22)、CET(bit 23)、PKS(bit 24) IA32_EFER MSR 标志位:LEM(bit 8)、NXE(bit 11) EFLAGS 标志位:AC(
十六.linux开发之Kernel移植——内核配置和编译原理
Mr.Wang的博客
09-04 5402
有道云笔记地址: 详情看这里链接,记录太多,就不一一排版了。 http://note.youdao.com/noteshare?id=d25dbce79566963e3699574a74048154&sub=D0E2BC043B5B415C840A3A2FB393376F   本节我们选择linux 2.6.35.7版本kernel进行实践。使用的是九鼎X210的移植版本 补...
Linux 3.x 内核学习笔记——x86 64位内存管理
热门推荐
liminyu的专栏
10-09 1万+
地址映射 64位地址采用4层地址映射,如下图: pgd、pud、pmd、pte各占了9位,加上12位的页内index,共用了48位。即可管理的地址空间为2^48=256T。而在32位地址模式时,该值仅为2^32=4G。 另外64位地址时支持的物理内存最大为64T,见e820.c中MAX_ARCH_PFN的定义: # define MAX_ARCH_PFN MAXMEM>>PAGE_
知识变现海哥|知识变现的核心技能-知识转化能力
知识变现海哥
01-29 4279
知识是一种信息,知识付费,人们购买的不是知识,而是具体的知识产品。 知识产品,相当于知识的容器和载体,知识是内核,容器是形式,一种内核可以利用不同的容器去承载。 比如有一个小伙子,看到现在自媒体很赚钱,产生了学习自媒体知识的需求,他可能去市场上购买一本书去学,也可能去购买一些视频和音频教程去学,或可能付费参加一样自媒体训练营,或可能去问答平台咨询一些大咖,通过不同的渠道和方式,获取自媒体方面的知识。 所以,做知识变现,必须具备把知识内容变成上述任何一种知识产品的能力,只有把知...
内核线程注入x64
11-22
Win764位下通过驱动Attach到目标进程下再调用NtCreateThreadEx函数创建线程执行ShellCode来注入Dll。
x64内核内存空间结构
weixin_30872733的博客
12-21 352
0x00 前言 本文主要是讨论Windows 7 x64下的内核虚拟地址空间的结构,可以利用WiinDBG调试的扩展命令"!CMKD.kvas"来显示x64下的内核虚拟地址空间的整体布局。了解内核的地址布局在某些情况下是很有的,比如说在研究New Blue Pill的源码和虚拟化的时候。 0x01 基本结构 X64的CPU的地址为64位,但实际上只支持48位的虚拟地址空间供软件使用。虚拟地址...
Windows x64内核学习笔记(三)—— SMEP & SMAP
qq_41988448的博客
02-28 2932
Windows x64内核学习笔记(三)—— SMAP & SMEP参考资料 参考资料 bilibili周壑:x64内核研究系列教程
Windows x64内核学习笔记(五)—— KPTI(未完待续)
qq_41988448的博客
03-04 1736
Windows x64内核学习笔记(五)—— KPTIKPTI实验一:构造IDT后门并读取Cr3实验二:访问KVASCODE区段实验三:访问TEXT区段参考资料 KPTI 描述:KPTI(Kernel page-table isolation)即内核页表隔离机制。 在学习SMEP&SMAP两个标志位时,我们成功通过将这两个标志位的值置0以达到让处于内核权限的CPU拥有读写和执行用户代码的权限,但实际上,只有内核模块的KVASCODE区段范围的地址是可读的,正是因为x64模式拥有内核页表隔离机制。
Windows x64内核学习笔记(四)—— 9-9-9-9-12分页
qq_41988448的博客
03-02 3968
Windows x64内核学习笔记(四)—— 9-9-9-9-12分页前言9-9-9-9-12分页实验一:线性地址转物理地址页表基址PTE to PXE实验二:通过页表基址定位各级页表的物理页参考资料 前言 在学习VT虚拟化技术的EPT物理地址转换时,我们简单提到过9-9-9-9-12分页的概念,即支持48位物理地址转换。 9-9-9-9-12分页 描述:随着计算机技术的发展,64位系统逐渐占据主流地位,那么也就表示CPU的最大寻址范围为64位。但实际上,CPU实际使用只使用了其中的48位用于寻址,寻址方式
汇编语言笔记(一)——汇编语言基础
翻肚鱼儿的博客
10-18 2452
汇编
jdk-8u51-windows64X
08-06
jdk-8u51-windows64X
kevos:从头开始使用奇怪的x64内核
02-04
凯沃斯 它是用于学习的x86-64内核。 总有一天它可能是工业级内核。 谁知道? 欢迎交流并共同完成! ## TODO清单: 1.在保护模式下加载64位GDT。 //完成。 2.在保护模式下设置并启用4级分页,然后跳转到64位代码。 //完成! 3.内核虚拟内存管理。 //立即开始! 与我联系: 什么是Kevos? Kevos是基于x64架构的sratch内核,具有高可读性,高灵活性和高效率的设计思想。 :grinning_face_with_smiling_eyes:
【OpenCV3编程入门学习笔记】——第1章 邂逅OpenCV
繁臻的小窝
02-22 1108
邂逅OpenCV 文章目录邂逅OpenCV前言1.1 OpenCV周边概念认知1.1.1 图像处理、计算机视觉与OpenCV1.1.2 OpenCV概述1.1.3 起源及发展1.1.4 应用概述1.2 OpenCV基本架构分析1.3 OpenCV3带来了什么1.4 OpenCV的下载、安装与配置1.5 快速上手OpenCV图像处理前期准备1.5.1 程序一 图像显示1.5.2 程序二 图像腐蚀1.5.3 程序三 图像模糊1.5.4 程序四 canny边缘检测1.6 OpenCV视频操作基础1.6.1 读取并
《计算机网络——自顶向下方法》学习笔记——计算机网络安全
weixin_45243288的博客
12-31 2983
计算机网络——计算机网络安全计算机网络安全什么是网络安全密码学的原则 计算机网络安全 什么是网络安全 安全通信具有下列所需要的特性。 机密性。 仅有发送方和希望的接收方能够理解传输报文的内容。 要求报文在一定程度上进行加密,使截取的报文无法被截获者所理解。 报文完整性。 确保其通信的内容在传输过程中未被改变——或者恶意篡改或者意外改动。 端点鉴别。 发送方和接收方都应该能证实通信过程所涉及的另一方,以确信通信的另一个确实具有其所声称的身份。 运行安全性。 几乎所有的机构(公司、大学等)都有了与公共因特网相
Windows x64内核学习笔记(七)—— Patch Guard(1)基本概念
qq_41988448的博客
06-02 2157
Patch Guard(简称PG)是Windows x64系统中用于保护内核代码完整性和安全性的保护机制,能够防止任何不受信任的代码或驱动程序修改内核代码,从而防止系统破坏和恶意软件的传播。Patch Guard在系统启动时进行验证,并在系统运行过程中定期执行检查以确保内核代码的完整性。如果发现任何不正确的修改,Patch Guard会使系统蓝屏并重启系统以确保安全性,蓝屏代码为0x109。
Windows x64内核学习笔记(二)—— IA-32e模式
qq_41988448的博客
02-24 3334
Windows x64内核学习笔记(二)—— IA-32e模式IA-32e模式模式检测特性强制平坦段任务切换中断门描述符FS / GS参考资料 IA-32e模式 描述:IA-32e是IA-32模式的扩展,它是一种状态,其内核为64位,用户可以是32位,也可以是64位。 当在64位CPU中安装32位操作系统时,内核和用户都是32位的,这种状态叫做Legacy模式。 模式检测 描述:如果IA32_EFER MSR(下标为0xC0000080)寄存器的值第八位为1,说明当前系统处于IA-32e模式。 特性 强
x64内核实验3-页机制的研究(1)
最新发布
qq_43147121的博客
10-05 322
在白皮书的第三卷2.5章对控制寄存器有详细的介绍,下面是白皮书中CR寄存器的结构图(这里要说明一下cr4的第12位是由被使用的这个位在2.5章的后半部分有介绍是控制是否开启5级分页的位否则是四级分页)首先是smep和smap两个位,这部分因为之前的实验会用到所以已经在段机制的部分介绍过了,这里就不再赘述其余一些位置的功能后面用到了会继续介绍,这边有个结构的概念就可以了。
《逆向工程核心原理》学习笔记(五):64位 & Windows 内核6
闵行小鱼塘
05-24 1599
继续学习《逆向工程核心原理》,本篇笔记是第五部分:64位 & Windows 内核6
x64内核hook
liuhaidon1992的博客
01-07 1512
x64中系统提供了api帮助我们进行hook,主要是如下三个函数 PsSetCreateProcessNotifyRoutineEx,这个函数的作用就是当进程创建的时候会通知你., PsSetCreateThreadNotifyRoutine,这个函数的作用是 当线程创建的时候会通知你。 PsSetLoadImageNotifyRoutine,这个函数的作用是 当模块加载的时候会通知你。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值