當前位置：首頁 > 运维知识 > windows >内容正文

windows

Windows PatchGuard学习

發布時間：2025/4/14 windows 30 豆豆

生活随笔收集整理的這篇文章主要介紹了 Windows PatchGuard学习小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

打開?Win64AST工具，看一下 Rootkit Functions 里面，有些什么功能；rootkit，肯定是些很底層的功能，和安全相關；

看下有一項禁止PatchGuard；

PatchGuard是什么，禁止了會如何？下面來學習；

1 PatchGuard
PatchGuard是Windows Vista的內核保護系統，防止任何非授權軟件試圖“修改”Windows內核，也就是說，Vista內核的新型金鐘罩。

作用是：有效防止內核模式驅動改動

PatchGuard為Windows Vista加入一個新安全操作層；ASLR（Address Space Layout Randomization）亦在這個安全層之下。

PatchGuard能夠有效防止內核模式驅動改動或替換Windows內核的任何內容，第三方軟件將無法再給Windows Vista內核添加任何“補丁”。

2 禁止PatchGuard
? ? 這是一個內核實驗。
? ? 按提示，首先要輸入winload.exe和ntoskrnl.exe原來的路徑；
? ? original，原來的；
? ? 第三步是，拷貝文件，創建bcd項，禁止PEAUTH服務；然后即可禁止；

還涉及到BCD和PEAUTH兩個概念，下面學習；

3 BCD 和 PEAUTH
BCD
? ?BCD(Boot Configuration Date)即系統引導配置數據，這是從Windows Vista開始才引入的。在Windows Vista/Server 2008中BootManager組件負責系統的初始化和引導工作，而與之相匹配系統的引導數據就存儲在BCD中。

BCD數據管理工具
　　最常用也最熟悉的系統引導管理就是系統高級引導菜單了，在Windows 7下也不例外。

PEAUTH服務

? ? 網上查不到資料；只有下面鏈接有個英文介紹；

http://batcmd.com/windows/7/services/peauth/

PEAUTH - Windows 7 Service
Protected Environment Authentication and Authorization Export Driver by Microsoft Corporation.

This service also exists in Windows 10, 8 and Vista.

Default Properties
Display name:?? ?PEAUTH
Service name:?? ?PEAUTH
Type:?? ?kernel
Path:?? ?%WinDir%\system32\drivers\peauth.sys
Error control:?? ?normal

Default Behavior
The PEAUTH service is a kernel driver. If the PEAUTH fails to load or initialize, the error is recorded into the Event Log. Windows 7 startup should proceed, but a message box is displayed informing you that the PEAUTH service has failed to start.
? ? 從描述來看，此服務是一個內核驅動程序；一個內核驅動程序，配置為Windows服務，顯示名稱是 PEAUTH；

4 恢復
? ? 禁止之后如何恢復？在運行框，輸入msconfig；在引導 tab里面操作，重啟；

下回再做此實驗；我正在寫代碼；上次玩這工具已經藍屏掛了一次；

總結

以上是生活随笔為你收集整理的Windows PatchGuard学习的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。

上一篇： C#访问Access和Win7 64位下
下一篇： win32汇编创建线程简单Demo