打开 Win64AST工具,看一下 Rootkit Functions 里面,有些什么功能;rootkit,肯定是些很底层的功能,和安全相关;

看下有一项 禁止PatchGuard;

PatchGuard是什么,禁止了会如何?下面来学习;

1 PatchGuard
PatchGuard是Windows Vista的内核保护系统,防止任何非授权软件试图“修改”Windows内核,也就是说,Vista内核的新型金钟罩。

作用是:有效防止内核模式驱动改动

PatchGuard为Windows Vista加入一个新安全操作层;ASLR(Address Space Layout Randomization)亦在这个安全层之下。

PatchGuard能够有效防止内核模式驱动改动或替换Windows内核的任何内容,第三方软件将无法再给Windows Vista内核添加任何“补丁”。

2 禁止PatchGuard
    这是一个内核实验。
    按提示,首先要输入winload.exe和ntoskrnl.exe原来的路径;
    original,原来的;
    第三步是,拷贝文件,创建bcd项,禁止PEAUTH服务;然后即可禁止;

还涉及到BCD和PEAUTH两个概念,下面学习;

3 BCD 和 PEAUTH
BCD
   BCD(Boot Configuration Date)即系统引导配置数据,这是从Windows Vista开始才引入的。在Windows Vista/Server 2008中BootManager组件负责系统的初始化和引导工作,而与之相匹配系统的引导数据就存储在BCD中。

BCD数据管理工具
  最常用也最熟悉的系统引导管理就是系统高级引导菜单了,在Windows 7下也不例外。

PEAUTH服务

网上查不到资料;只有下面链接有个英文介绍;

http://batcmd.com/windows/7/services/peauth/

PEAUTH - Windows 7 Service
Protected Environment Authentication and Authorization Export Driver by Microsoft Corporation.

This service also exists in Windows 10, 8 and Vista.

Default Properties
Display name:    PEAUTH
Service name:    PEAUTH
Type:    kernel
Path:    %WinDir%\system32\drivers\peauth.sys
Error control:    normal

Default Behavior
The PEAUTH service is a kernel driver. If the PEAUTH fails to load or initialize, the error is recorded into the Event Log. Windows 7 startup should proceed, but a message box is displayed informing you that the PEAUTH service has failed to start.
    从描述来看,此服务是一个内核驱动程序;一个内核驱动程序,配置为Windows服务,显示名称是 PEAUTH;

4 恢复
    禁止之后如何恢复?在 运行 框,输入msconfig;在 引导 tab里面操作,重启;

下回再做此实验;我正在写代码;上次玩这工具已经蓝屏挂了一次;

Windows PatchGuard学习相关推荐

  1. 超详细配置教程,搭建 Windows 深度学习环境

    点击上方"视学算法",选择加"星标"或"置顶" 重磅干货,第一时间送达 选自 | towardsdatascience 作者 | Ahina ...

  2. Windows异常学习笔记(五)—— 未处理异常

    Windows异常学习笔记(五)-- 未处理异常 要点回顾 最后一道防线 实验一:理解最后一道防线 实验二:新线程的最后一道防线 总结 UnhandledExceptionFilter 实验三:理解U ...

  3. Windows异常学习笔记(四)—— 编译器扩展SEH

    Windows异常学习笔记(四)-- 编译器扩展SEH 要点回顾 编译器支持的SEH 过滤表达式 实验一:理解_try_except 实验二:_try_except 嵌套 拓展SEH结构体 scope ...

  4. Windows异常学习笔记(二)—— 内核异常处理流程用户异常的分发

    Windows异常学习笔记(二)-- 内核异常处理流程&用户异常分发 用户层与内核层异常 内核异常 分析 KiDispatchException 分析 RtlDispatchException ...

  5. Windows异常学习笔记(一)—— CPU异常记录模拟异常记录

    Windows异常学习笔记(一)-- CPU异常记录 基础知识 异常的分类 CPU异常 分析中断处理函数 _KiTrap00 分析 CommonDispatchException 总结 软件模拟异常 ...

  6. Windows APC学习笔记(二)—— 挂入过程执行过程

    Windows APC学习笔记(二)-- 挂入过程&执行过程 基础知识 挂入过程 KeInitializeApc ApcStateIndex KiInsertQueueApc Alertabl ...

  7. Windows APC学习笔记(一)—— APC的本质备用APC队列

    Windows APC学习笔记(一)-- APC的本质&备用APC队列 基础知识 APC的本质 APC队列 APC结构 分析 KiServiceExit 总结 备用APC队列 挂靠环境下Apc ...

  8. Windows系统调用学习笔记(四)—— 系统服务表SSDT

    Windows系统调用学习笔记(四)-- 系统服务表&SSDT 要点回顾 系统服务表 实验:分析 KiSystemService 与 KiFastCallEntry 共同代码 SSDT 实验: ...

  9. Windows系统调用学习笔记(三)—— 保存现场

    Windows系统调用学习笔记(三)-- 保存现场 要点回顾 基本概念 Trap Frame 结构 线程相关的结构体 ETHREAD KTHREAD CPU相关的结构体 KPCR _NT_TIB KP ...

最新文章

  1. Java虚拟机常见面试题
  2. 我家车模初长成 - K车模养成要点
  3. VM页面中遍历枚举类
  4. 微信支付在巴黎发布“智慧生活零时差”全球战略
  5. mysql数据库sql语句中使用变量_mysql数据库sql语句中使用变量
  6. JavaWeb学习中的小问题
  7. Redmine性能测试
  8. linux centos 7定时任务添加,CentOS 7 cron服务 定时任务使用方法
  9. 2017.10.9 放棋子 思考记录
  10. 使用IntelliJ IDEA和Maven构建Java web项目并打包部署
  11. 19春招多益网络前端笔试题
  12. JavaScript将小写金额转换成大写
  13. html怎样在雪景里插入文字,配雪景的唯美文字
  14. BUUCTF pwn rootersctf_2019_xsh
  15. Discuz!安全防护之注册机防护插件免费发布
  16. c语言是汇编语言实现的吗,使用汇编语言实现逻辑表达式
  17. 【ROS】在 Ubuntu 20.04 安装 ROS 的详细教程
  18. 极域工具包 1.1正式发布!窗口化极域,解键盘锁,适配学生机房管理助手7.4-7.5!
  19. svn报错 svn: E155015: Aborting commit: remains in tree-conflict
  20. 关于服务器配置的详细进度

热门文章

  1. Pandas简明教程:七、Pandas缺失数据的处理(数据清洗基础)
  2. Oracle 数据库用户锁定与解锁,用户锁定最大密码失败次数设置方法,ORA-28000: the account is locked问题解决方法
  3. Windows 技术篇 - windows日期和时间设置里没有Internet 时间页签原因和解决方法
  4. freeRtos学习笔(1)内核剪裁
  5. win7下更改设置时间权限
  6. YTU 1495 蛇行矩阵 YTU 1607 字符棱形YTU 1959 图案打印YTU 2016 打印金字塔
  7. Matlab函数bwmorph
  8. vue在微信里面的兼容问题_微信H5页面兼容性问题分析及解决方法
  9. Django学习 -- 第一个项目(Hello World)
  10. oracle sysman 不存在_Oracle无法对所有 EM 相关帐户解锁