Windows x64內核學習筆記（一）—— 環境與配置

• 前言
• 新特性
• 基礎要求
• 實驗環境
• Guest Win10配置
• 問題解決
• 參考資料

前言

之前，跟著海哥學習了windows內核的一些機制，包括保護模式，異常處理，消息機制等等，使用的環境是XP系統。

但是，在實際工作中，面對需要用到x64內核相關的內容時，依舊會感到茫然無措，畢竟腦中的知識只局限在32位內核。

隨著時代發展，64位系統未來必將成為主流，但苦于市面上關于x64的教程非常少，因此一直沒有機會系統化學習。

前段時間才發現周壑老師出了一套名為「x64內核研究」的教程，不得不說周壑老師真是太牛了。

那么，就讓我們一起來學習x64內核吧。

新特性

相較于x32內核而言，x64內核包含以下幾個新特性

SMEP / SMAP
分別為控制寄存器Cr4的兩個標志位，用于控制內核對用戶層的數據讀寫與執行的權限。
例如如果像x32內核一樣，在x64中做idt后門，那么可能會產生類似「三重錯誤」的錯誤。

KPTI
內核頁表隔離，Win10在2018年初更新的補丁，使得一個進程對應兩個Cr3，處理用戶層和內核層時擁有兩個idt表。

硬件漏洞（幽靈、熔斷）相關（介紹）

CFG（介紹）

Patch Guard
內核補丁保護，不能隨意對x64內核進行patch，否則會觸發不定時藍屏。

DSE強制簽名（介紹）

基礎要求

C語言

x64匯編

x86保護模式

實驗環境

虛擬機：VMware Workstation（15.1.0）版本及以上

操作系統：Windows 10 1903 （筆者使用的小版本是18362.356）

調試器：Windbg（10.0.18362.1）

C語言（x64）開發環境：Visual Studio（2010）版本及以上

驅動（x64）開發環境：WDK（7600）版本及以上

其他工具：CE（7.0）版本及以上；DebugView（4.9.0）版本及以上

Guest Win10配置

由于本次學習不涉及到VT，因此可以把VT支持關掉。

可以調整藍屏時產生轉儲文件的大小

轉儲文件的路徑最好也改一下：

開啟調試模式和測試模式// 1. 查看當前的啟動項信息 bcdedit /enum {current} // 2. 復制一個啟動項，并開啟調試模式和測試模式 bcdedit /copy {current} /d "Windows Debug Entry" bcdedit /dbgsettings serial baudrate:115200 debugport:1 // ID是第一條命令執行后提供的啟動項標識符 bcdedit /debug {ID} ON bcdedit /set {ID} TESTSIGNING on // 3.（可選）添加一個只禁用驅動簽名的啟動項 bcdedit /copy {current} /d "Windows Nointegritycheck Entry" // ID是上一條命令執行后提供的啟動項標識符 bcdedit /set {ID} nointegritychecks on

問題解決

在嘗試使用DbgView64監視核心時，可能會報錯

解決方法：關閉UAC

使用「Command+R」輸入「gpedit.msc」，打開本地策略組編輯器。

依次展開「計算機配置」-「Windows設置」-「安全設置」-「本地策略」-「安全選項」，在具體策略中找到用于賬戶控制相關配置

將「用戶賬戶控制：以管理員批準模式運行所有管理員」設置為「已禁用」。

好了，接下來進行重啟，就能夠監視核心了，然后就可以在Host OS使用WinDbg進行雙機調試了。

參考資料

• bilibili周壑：x64內核研究系列教程

總結

以上是生活随笔為你收集整理的Windows x64内核学习笔记（一）—— 环境与配置的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。