Windows PatchGuard学习
打开 Win64AST工具,看一下 Rootkit Functions 里面,有些什么功能;rootkit,肯定是些很底层的功能,和安全相关;
看下有一项 禁止PatchGuard;
PatchGuard是什么,禁止了会如何?下面来学习;
1 PatchGuard
PatchGuard是Windows Vista的内核保护系统,防止任何非授权软件试图“修改”Windows内核,也就是说,Vista内核的新型金钟罩。
作用是:有效防止内核模式驱动改动
PatchGuard为Windows Vista加入一个新安全操作层;ASLR(Address Space Layout Randomization)亦在这个安全层之下。
PatchGuard能够有效防止内核模式驱动改动或替换Windows内核的任何内容,第三方软件将无法再给Windows Vista内核添加任何“补丁”。
2 禁止PatchGuard
这是一个内核实验。
按提示,首先要输入winload.exe和ntoskrnl.exe原来的路径;
original,原来的;
第三步是,拷贝文件,创建bcd项,禁止PEAUTH服务;然后即可禁止;
还涉及到BCD和PEAUTH两个概念,下面学习;
3 BCD 和 PEAUTH
BCD
BCD(Boot Configuration Date)即系统引导配置数据,这是从Windows Vista开始才引入的。在Windows Vista/Server 2008中BootManager组件负责系统的初始化和引导工作,而与之相匹配系统的引导数据就存储在BCD中。
BCD数据管理工具
最常用也最熟悉的系统引导管理就是系统高级引导菜单了,在Windows 7下也不例外。
PEAUTH服务
网上查不到资料;只有下面链接有个英文介绍;
http://batcmd.com/windows/7/services/peauth/
PEAUTH - Windows 7 Service
Protected Environment Authentication and Authorization Export Driver by Microsoft Corporation.
This service also exists in Windows 10, 8 and Vista.
Default Properties
Display name: PEAUTH
Service name: PEAUTH
Type: kernel
Path: %WinDir%\system32\drivers\peauth.sys
Error control: normal
Default Behavior
The PEAUTH service is a kernel driver. If the PEAUTH fails to load or initialize, the error is recorded into the Event Log. Windows 7 startup should proceed, but a message box is displayed informing you that the PEAUTH service has failed to start.
从描述来看,此服务是一个内核驱动程序;一个内核驱动程序,配置为Windows服务,显示名称是 PEAUTH;
4 恢复
禁止之后如何恢复?在 运行 框,输入msconfig;在 引导 tab里面操作,重启;
下回再做此实验;我正在写代码;上次玩这工具已经蓝屏挂了一次;
Windows PatchGuard学习相关推荐
- 超详细配置教程,搭建 Windows 深度学习环境
点击上方"视学算法",选择加"星标"或"置顶" 重磅干货,第一时间送达 选自 | towardsdatascience 作者 | Ahina ...
- Windows异常学习笔记(五)—— 未处理异常
Windows异常学习笔记(五)-- 未处理异常 要点回顾 最后一道防线 实验一:理解最后一道防线 实验二:新线程的最后一道防线 总结 UnhandledExceptionFilter 实验三:理解U ...
- Windows异常学习笔记(四)—— 编译器扩展SEH
Windows异常学习笔记(四)-- 编译器扩展SEH 要点回顾 编译器支持的SEH 过滤表达式 实验一:理解_try_except 实验二:_try_except 嵌套 拓展SEH结构体 scope ...
- Windows异常学习笔记(二)—— 内核异常处理流程用户异常的分发
Windows异常学习笔记(二)-- 内核异常处理流程&用户异常分发 用户层与内核层异常 内核异常 分析 KiDispatchException 分析 RtlDispatchException ...
- Windows异常学习笔记(一)—— CPU异常记录模拟异常记录
Windows异常学习笔记(一)-- CPU异常记录 基础知识 异常的分类 CPU异常 分析中断处理函数 _KiTrap00 分析 CommonDispatchException 总结 软件模拟异常 ...
- Windows APC学习笔记(二)—— 挂入过程执行过程
Windows APC学习笔记(二)-- 挂入过程&执行过程 基础知识 挂入过程 KeInitializeApc ApcStateIndex KiInsertQueueApc Alertabl ...
- Windows APC学习笔记(一)—— APC的本质备用APC队列
Windows APC学习笔记(一)-- APC的本质&备用APC队列 基础知识 APC的本质 APC队列 APC结构 分析 KiServiceExit 总结 备用APC队列 挂靠环境下Apc ...
- Windows系统调用学习笔记(四)—— 系统服务表SSDT
Windows系统调用学习笔记(四)-- 系统服务表&SSDT 要点回顾 系统服务表 实验:分析 KiSystemService 与 KiFastCallEntry 共同代码 SSDT 实验: ...
- Windows系统调用学习笔记(三)—— 保存现场
Windows系统调用学习笔记(三)-- 保存现场 要点回顾 基本概念 Trap Frame 结构 线程相关的结构体 ETHREAD KTHREAD CPU相关的结构体 KPCR _NT_TIB KP ...
最新文章
- Java虚拟机常见面试题
- 我家车模初长成 - K车模养成要点
- VM页面中遍历枚举类
- 微信支付在巴黎发布“智慧生活零时差”全球战略
- mysql数据库sql语句中使用变量_mysql数据库sql语句中使用变量
- JavaWeb学习中的小问题
- Redmine性能测试
- linux centos 7定时任务添加,CentOS 7 cron服务 定时任务使用方法
- 2017.10.9 放棋子 思考记录
- 使用IntelliJ IDEA和Maven构建Java web项目并打包部署
- 19春招多益网络前端笔试题
- JavaScript将小写金额转换成大写
- html怎样在雪景里插入文字,配雪景的唯美文字
- BUUCTF pwn rootersctf_2019_xsh
- Discuz!安全防护之注册机防护插件免费发布
- c语言是汇编语言实现的吗,使用汇编语言实现逻辑表达式
- 【ROS】在 Ubuntu 20.04 安装 ROS 的详细教程
- 极域工具包 1.1正式发布!窗口化极域,解键盘锁,适配学生机房管理助手7.4-7.5!
- svn报错 svn: E155015: Aborting commit: remains in tree-conflict
- 关于服务器配置的详细进度
热门文章
- Pandas简明教程:七、Pandas缺失数据的处理(数据清洗基础)
- Oracle 数据库用户锁定与解锁,用户锁定最大密码失败次数设置方法,ORA-28000: the account is locked问题解决方法
- Windows 技术篇 - windows日期和时间设置里没有Internet 时间页签原因和解决方法
- freeRtos学习笔(1)内核剪裁
- win7下更改设置时间权限
- YTU 1495 蛇行矩阵 YTU 1607 字符棱形YTU 1959 图案打印YTU 2016 打印金字塔
- Matlab函数bwmorph
- vue在微信里面的兼容问题_微信H5页面兼容性问题分析及解决方法
- Django学习 -- 第一个项目(Hello World)
- oracle sysman 不存在_Oracle无法对所有 EM 相关帐户解锁