x64内核
文章平均质量分 93
lzyddf
这个人很懒,什么也没有留下
展开
-
Windows x64内核学习笔记(七)—— Patch Guard(1)基本概念
Patch Guard(简称PG)是Windows x64系统中用于保护内核代码完整性和安全性的保护机制,能够防止任何不受信任的代码或驱动程序修改内核代码,从而防止系统破坏和恶意软件的传播。Patch Guard在系统启动时进行验证,并在系统运行过程中定期执行检查以确保内核代码的完整性。如果发现任何不正确的修改,Patch Guard会使系统蓝屏并重启系统以确保安全性,蓝屏代码为0x109。原创 2023-06-02 09:53:04 · 2210 阅读 · 0 评论 -
Windows x64内核学习笔记(六)—— LFENCE&CFG
Windows x64内核学习笔记(六)—— 硬件漏洞补丁&CFG预测执行实验一:理解预测执行幽灵漏洞LFENCECFG_guard_dispatch_icall参考资料预测执行众所周知,CPU的运行速度是非常快的,每秒能执行百千万条指令,而指令是从哪里来的呢,当然是从内存中读取的。由于内存的运行效率低于CPU,就导致了一个问题,即CPU访问内存的速度远大于内存访问CPU的速度。那么,应该怎么做,才能将CPU的性能尽可能利用起来呢?CPU处理一条指令大致可以分为四个阶段:读取指令、翻译指令原创 2022-03-09 14:09:03 · 1616 阅读 · 0 评论 -
Windows x64内核学习笔记(五)—— KPTI(未完待续)
Windows x64内核学习笔记(五)—— KPTIKPTI实验一:构造IDT后门并读取Cr3实验二:访问KVASCODE区段实验三:访问TEXT区段参考资料KPTI描述:KPTI(Kernel page-table isolation)即内核页表隔离机制。在学习SMEP&SMAP两个标志位时,我们成功通过将这两个标志位的值置0以达到让处于内核权限的CPU拥有读写和执行用户代码的权限,但实际上,只有内核模块的KVASCODE区段范围的地址是可读的,正是因为x64模式拥有内核页表隔离机制。原创 2022-03-04 17:40:55 · 1755 阅读 · 9 评论 -
Windows x64内核学习笔记(四)—— 9-9-9-9-12分页
Windows x64内核学习笔记(四)—— 9-9-9-9-12分页前言9-9-9-9-12分页实验一:线性地址转物理地址页表基址PTE to PXE实验二:通过页表基址定位各级页表的物理页参考资料前言在学习VT虚拟化技术的EPT物理地址转换时,我们简单提到过9-9-9-9-12分页的概念,即支持48位物理地址转换。9-9-9-9-12分页描述:随着计算机技术的发展,64位系统逐渐占据主流地位,那么也就表示CPU的最大寻址范围为64位。但实际上,CPU实际使用只使用了其中的48位用于寻址,寻址方式原创 2022-03-02 12:44:32 · 4040 阅读 · 0 评论 -
Windows x64内核学习笔记(三)—— SMEP & SMAP
Windows x64内核学习笔记(三)—— SMAP & SMEP参考资料参考资料bilibili周壑:x64内核研究系列教程原创 2022-02-28 18:30:41 · 2981 阅读 · 2 评论 -
Windows x64内核学习笔记(二)—— IA-32e模式
Windows x64内核学习笔记(二)—— IA-32e模式IA-32e模式模式检测特性强制平坦段任务切换中断门描述符FS / GS参考资料IA-32e模式描述:IA-32e是IA-32模式的扩展,它是一种状态,其内核为64位,用户可以是32位,也可以是64位。当在64位CPU中安装32位操作系统时,内核和用户都是32位的,这种状态叫做Legacy模式。模式检测描述:如果IA32_EFER MSR(下标为0xC0000080)寄存器的值第八位为1,说明当前系统处于IA-32e模式。特性强原创 2022-02-24 17:51:40 · 3369 阅读 · 0 评论 -
Windows x64内核学习笔记(一)—— 环境与配置
Windows x64内核学习笔记(一)—— 环境与配置前言之前,跟着海哥学习了windows内核的一些机制,包括保护模式,异常处理,消息机制等等,使用的环境是XP系统。但是,在实际工作中,面对需要用到x64内核相关的内容时,依旧会感到茫然无措,毕竟脑中的知识只局限在32位内核。随着时代发展,64位系统未来必将成为主流,但苦于市面上关于x64的教程非常少,因此一直没有机会系统化学习。前段时间才发现周壑老师出了一套名为「x64内核研究」的教程,不得不说周壑老师真是太牛了。原创 2022-02-24 14:52:27 · 2276 阅读 · 0 评论