Windows kernel: Windows kernel — Windows drivers

Я изучаю хранилище Docker, и мне не ясно, что такое драйверы хранения Docker. Что такое драйвер хранения docker в терминах непрофессионала? Чем она отличается от резервной файловой системы, которую…

Новые для Windows водителей . Почитай что-нибудь. Рассуждения, основанные на thatBased на этом — WIndows драйвер для копирования из пользовательского пространства в пространство kernel (известное…

я только начал кодировать драйвер устройства и новичок в потоковой обработке, прошел через множество документов, чтобы получить представление о потоках. у меня все еще есть некоторые сомнения. что…

Я собираюсь подписать контракт с водителем, которого я сделал. Многие ссылки на документацию Microsoft kernel mode software. что это такое? Он упоминается во многих местах, но, похоже, нигде не…

1) Процесс пользовательского режима имеет свой собственный контекст адреса, который сопоставляет виртуальные адреса пользовательского режима с уникальной коллекцией физических фреймов страниц. То…

Я пишу драйвер Windows kernel и пытаюсь реализовать следующее. Предположим, что драйвер был вызван из пользовательского режима через функцию DeviceIoControl с определенным кодом IOCTL. Как водитель…

Я хотел бы попросить вашего совета по следующему вопросу: мне нужно написать драйверы для omap3, для доступа к внешнему dsp через fpga (через интерфейс gpmc). Dsp требуется для загрузки файла в dsp…

Что такое тест-драйвер в контексте программной инженерии? Это функция main(), которая вызывает другие функции и отображает их выходные данные для тестирования? Или для каждой функции существует…

Что такое DMA mapping и DMA engine в контексте linux kernel? При сопоставлении DMA API и движок DMA API могут быть использованы в драйвер устройства Linux? Любой реальный пример драйвера устройства…

У меня есть требование создать драйвер Linux Kernel для взаимодействия с кучей MCU через I2C, через интерфейсную плату. Поскольку их будет много, то есть около 1-18, мы используем мультиплексор NXP…

Библиотека ядра Windows в режиме ядра — драйверы Windows

• Статья
• 15.12.2021
• 2 минуты на чтение

Пожалуйста, оцените свой опыт

да Нет

Любая дополнительная обратная связь?

Отзыв будет отправлен в Microsoft: при нажатии кнопки отправки ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

Представлять на рассмотрение

Спасибо.

В этой статье

Ядро операционной системы реализует основные функции, от которых зависит все остальное в операционной системе. Ядро Microsoft Windows обеспечивает базовые низкоуровневые операции, такие как планирование потоков или маршрутизация аппаратных прерываний.Это сердце операционной системы, и все задачи, которые он выполняет, должны быть быстрыми и простыми.

Подпрограммы, обеспечивающие прямой интерфейс к библиотеке ядра, обычно имеют префикс « Ke », например, KeGetCurrentThread . Список подпрограмм библиотеки ядра см. в разделе Подпрограммы поддержки библиотеки ядра.

Примечание

Термин микроядро не применяется к текущему ядру, используемому в операционной системе Windows.

Исправление драйвера Dell по-прежнему позволяет проводить атаки на уровне ядра Windows

В мае 2021 года был обнаружен и исправлен набор из пяти уязвимостей в драйверах компьютеров Dell, которые в совокупности отслеживались как CVE-2021-21551, после того как они оставались пригодными для использования в течение 12 лет.

Однако исправление Dell не было достаточно всеобъемлющим, чтобы предотвратить дополнительную эксплуатацию, и, как предупреждают исследователи в области безопасности, оно является отличным кандидатом для будущих атак с использованием собственного уязвимого драйвера (BYOVD).

«Мы обнаружили, что обновление Dell не устранило условие «записать что-куда», а только ограничило доступ для административных пользователей. Согласно определению границ безопасности Microsoft, исправление Dell устранило проблему безопасности», — объясняет исследователь Rapid7 Джейк Бейнс.

«Однако частично исправленный драйвер все еще может помочь злоумышленникам.

Что такое BYOVD

BYOVD — это аббревиатура от «Bring Your Own Vulnerable Driver», метода атаки, при котором злоумышленники устанавливают законный, но уязвимый драйвер на целевую машину.

Затем этот уязвимый драйвер используется для повышения привилегий или выполнения кода в целевой системе.

Это известная техника, которая уже много лет широко применяется в дикой природе. К сожалению, несмотря на то, что Microsoft попыталась смягчить проблему с помощью более строгих правил Windows DSE (Driver Signature Enforcement), проблема не устранена.

Существует как минимум четыре эксплойта с открытым исходным кодом, позволяющие субъектам загружать неподписанные драйверы в ядро ​​Windows, и один из них, KDU, поддерживает более 14 вариантов драйверов.

Только на основании этого и даже без учета пользовательских инструментов, созданных опытными субъектами и используемых в частном порядке и исключительно, становится ясно, что BYOVD представляет собой постоянную угрозу.

Проблема Dell

Драйвер Dell dbutil_2_3.sys, уязвимый для CVE-2021-21551, может способствовать атакам BYOVD, и, как предупреждают исследователи Rapid7, это относится и к последним версиям драйверов.

Условие записи-что-где сохраняется в dbutildrv2.sys 2.5 и 2.7, поэтому у злоумышленников есть в общей сложности три подписанных драйвера-кандидата для выполнения кода ядра.

Чтобы воспользоваться этой уязвимостью, злоумышленникам уже потребуются права администратора, что может сделать глупым беспокойство по поводу этой уязвимости.

Однако продвинутые злоумышленники могут использовать эту уязвимость для выполнения кода в режиме ядра или звонка 0, что является наивысшим уровнем привилегий, возможным в Windows.

С этим уровнем доступа злоумышленники могут развертывать руткиты UEFI, скрывать эксплойты и артефакты руткитов или выполнять практически любые команды в Windows. В конечном счете, продвинутые злоумышленники могут проводить атаки с высокой устойчивостью к обнаружению, что позволяет им оставаться на устройствах месяцами, а то и дольше.

Исследователи разработали модуль Metasploit, который реализует атаку LSA-подрывной защиты с использованием более поздних (2.5 и 2.7) версий драйвера Dell, что демонстрируется в видео ниже.

«Злоумышленник с повышенными привилегиями может использовать модуль, чтобы включить или отключить защиту процесса для произвольного PID», — поясняется в отчете Rapid7.

«Драйверы Dell особенно ценны, поскольку они совместимы с новейшими требованиями к подписи, выпущенными Microsoft».

Проблема усугубляется тем, что эти более поздние версии драйверов вряд ли будут заблокированы и останутся доступными для целенаправленной скрытой эксплуатации.

Решение проблемы

Согласно Rapid7, субъекты угроз по-прежнему ограничены использованием dbutil_2_3.sys, поэтому версии 2.5 и 2.7 пока не используются.

Однако исследователи считают, что это только вопрос времени, поэтому необходимы дополнительные усилия по обнаружению и устранению последствий.

Компания Rapid7 связалась с Dell по этому вопросу, и, поскольку уязвимость уже требует прав администратора, производитель компьютеров ответил следующим заявлением:

«После тщательного обсуждения с командой разработчиков мы классифицировали эту проблему как слабость, а не как уязвимость из-за уровня привилегий, необходимого для проведения атаки.Это соответствует рекомендациям, представленным в модели драйверов Windows. Мы не планируем выпускать рекомендации по безопасности или выпускать CVE по этому поводу».

Однако, поскольку злоумышленники по-прежнему могут использовать драйверы для получения доступа к кольцу 0, Rapid7 рекомендует администраторам принять следующие меры безопасности, чтобы заблокировать загрузку вредоносных драйверов в их систему:

• Использовать правила блокировки драйверов Microsoft (в настоящее время не включая драйверы Dell)
• Используйте три хеша для 2.3, 2.5 и 2.7 на стороннем решении EDR
• Включить целостность кода, защищенную гипервизором (HVCI)

Наконец, рассмотрите возможность отправки уязвимых драйверов в Microsoft, чтобы оказать давление на их включение в черный список.

В чем разница между ядром Windows и ядром Linux

Основное различие между ядром Windows и ядром Linux заключается в том, что ядро ​​ Windows, которое находится в операционной системе Windows, является коммерческим программным обеспечением, а ядро ​​Linux, которое находится в операционной системе Linux, является программным обеспечением с открытым исходным кодом.

Ядро — это ядро ​​операционной системы. Он выполняет такие функции, как связь с аппаратными устройствами, управление процессами, обработка файлов и многие другие задачи. Различные операционные системы имеют разные ядра в зависимости от типа ОС. Более того, устройства в Windows и Linux имеют разные ядра.

Ключевые области охвата

1. Что такое ядро ​​Windows
     – определение, функциональность
2. Что такое ядро ​​Linux
     – определение, функциональность
3.В чем разница между ядром Windows и ядром Linux
     – Сравнение ключевых различий

Ключевые термины

Ядро, Ядро Linux, Ядро Windows

Что такое ядро ​​Windows

Устройства с операционной системой Microsoft Windows состоят из ядра Windows. Это ядро ​​называется ядром Windows NT. Он способен работать как с однопроцессорными, так и с симметричными многопроцессорными компьютерами, поэтому его также называют гибридным ядром и .Архитектура Windows состоит из ядра Windows, уровня аппаратной абстракции (HAL), драйверов и других вспомогательных служб. Эти службы работают в режиме ядра.

Кроме того, система Windows может работать в двух режимах: пользовательском режиме и режиме ядра. Программы, работающие в пользовательском режиме, имеют ограниченный доступ к системным ресурсам. Однако программы, работающие в модели ядра, не имеют ограничений на доступ к системной памяти, оборудованию и ресурсам. Пользовательский режим может отправлять запросы ввода-вывода соответствующим драйверам устройств режима ядра с помощью диспетчера ввода-вывода.

Ядро Windows выполняет различные функции, включая многопроцессорную синхронизацию, поддержку потоков, планирование прерываний и диспетчеризацию. Он также обрабатывает ловушки и исключения. Более того, ядро ​​инициализирует устройства дисков в момент загрузки системы.

Что такое ядро ​​Linux

Ядро в системах на базе Linux называется ядром Linux. Одной из основных причин популярности ядра Linux является его бесплатность и открытый исходный код.У него есть участники по всему миру.

В системах Linux пользовательские программы могут взаимодействовать с ядром через интерфейс прикладного программирования (API). Драйверы устройств управляют оборудованием как частью функциональности ядра. Существует интерфейс между ядром и загружаемыми модулями ядра (LKM).

Более того, ядро ​​Linux присутствует на персональных компьютерах и серверах. Он доступен во встроенных устройствах, таких как маршрутизаторы, точки беспроводного доступа, АТС, смарт-телевизоры и т. д.также. Популярная мобильная операционная система Android также использует ядро ​​Linux для реализации своих функций.

Разница между ядром Windows и ядром Linux

Определение

Ядро Windows — коммерческое ядро ​​операционной системы Windows, разработанное Microsoft. Напротив, ядро ​​​​Linux представляет собой Unix-подобное ядро ​​компьютерной операционной системы с открытым исходным кодом. Следовательно, в этом основное различие между ядром Windows и ядром Linux.

Разработчик

Microsoft разработала ядро ​​Windows, а Linux Torvalds разработал ядро ​​Linux.

Доступ к исходному коду

Доступ к исходному коду — еще одно различие между ядром Windows и ядром Linux. Нет доступа к исходному коду ядра Windows. Однако имеется полный доступ к исходному коду ядра Linux.

Архитектура

Более того, еще одно различие между ядром Windows и ядром Linux заключается в том, что ядро ​​Windows имеет гибридную архитектуру, а ядро ​​Linux — монолитную.

Контроль доступа к файлам

Кроме того, Windows использует список управления доступом (ACL) для управления доступом к файлам.Напротив, Linux использует традиционные разрешения Unix и POSIX ACL для управления доступом к файлам.

Стек графического интерфейса

— еще одно различие между ядром Windows и ядром Linux. Windows включает стек графического интерфейса в ядро. Однако в Linux стек GUI находится в пользовательском пространстве.

Поддержка нескольких пользователей

Кроме того, Windows поддерживает несколько пользователей и сеансов, но зависит от версий и выпусков. Между тем, Linux поддерживает 100% многопользовательскую среду.

Конфигурации

 – это также разница между ядром Windows и ядром Linux. Windows поддерживает реестр для хранения конфигураций, в то время как Linux поддерживает конфигурации в файлах.

Устройства

Хотя ядро ​​Windows имеет разные механизмы для разных устройств, каждое устройство является файлом для ядра Linux. Таким образом, это важное различие между ядром Windows и ядром Linux.

Заключение

Разница между ядром Windows и ядром Linux заключается в том, что ядро ​​Windows, которое находится в операционной системе Windows, является коммерческим программным обеспечением, а ядро ​​Linux, которое находится в операционной системе Linux, является программным обеспечением с открытым исходным кодом.

Артикул:

1. «Архитектура Windows NT». Википедия, Фонд Викимедиа, 15 октября 2018 г., доступно здесь.
2. «Ядро Linux». Википедия, Фонд Викимедиа, 18 ноября 2018 г.,
Доступно здесь.
3. «Сравнение ядер операционных систем». Википедия, Фонд Викимедиа, 23 октября 2018 г., доступно здесь.

Изображение предоставлено:

1. «2360920» (CC0) через Pixabay
2. «Как ОС Linux была анонсирована миру в 1991 году» Методышоп .com (CC BY-SA 2.0) через Flickr

CodeMachine — Статья — Каталог ключевых структур данных ядра Windows

Диспетчер памяти

нт!_

MDL представляет собой структуру списка дескрипторов памяти, которая описывает память режима пользователя или ядра, для которой была заблокирована страница. Он состоит из заголовка фиксированной длины, за которым следует переменное количество номеров кадров страницы (PFN), по одному на каждую страницу, которую описывает MDL.

Структура MDL содержит виртуальный адрес и размер буфера, который она описывает, а для буферов пользовательского режима она также указывает на процесс, которому принадлежит буфер.MDL используются драйверами устройств для программирования аппаратных устройств для выполнения передач DMA, а также для отображения пользовательского режима буферов на режим ядра и наоборот.

Некоторые типы драйверов, например. сетевого стека, в Windows поддерживаются связанные MDL, где несколько MDL, описывающих виртуально фрагментированные буферы, связаны друг с другом с помощью поля Next .

Для MDL, описывающих буферы пользовательского режима, поле Process указывает на структуру EPROCESS процесса, виртуальное адресное пространство которого заблокировано MDL.

Если буфер, описанный MDL, отображается в виртуальное адресное пространство ядра, MappedSystemVa указывает на адрес буфера в режиме ядра. Это поле допустимо, только если биты MDL_MAPPED_TO_SYSTEM_VA или MDL_SOURCE_IS_NONPAGED_POOL установлены в поле MdlFlags .

Поле Size содержит размер структуры данных MDL и всего массива PFN, следующего за MDL.

Поле StartVa и поле ByteOffset вместе определяют начало исходного буфера, заблокированного MDL.StartVa указывает на начало страницы, а ByteOffset содержит смещение от StartVa, где фактически начинается буфер.

Поле ByteCount описывает размер буфера, заблокированного MDL.

API: IoAllocateMdl (), IoBuildPartialMdl (), IoFreeMdl (), MmInitializeMdl (), MmSizeOfMdl (), MmPrepareMdlForReuse (), MmGetMdlByteCount (), MmGetMdlByteOffset (), MmGetMdlVirtualAddress (), MmGetSystemAddressForMdl (), MmGetSystemAddressForMdlSafe (), MmGetMdlPfnArray (), MmBuildMdlForNonPagedPool ( ), MmProbeAndLockPages(), MmUnlockPages(), MmMapLockedPages(), MmMapLockedPagesSpecifyCache(), MmUnmapLockedPages(), MmAllocatePagesForMdl(), MmAllocatePagesForMdlEx(), MmFreePagesFromMdl(), MmMapLockedPagesWithReservedMapping(), MmUnmapReservedMapping(), MmAllocateMappingAddress(), MmFreeMappingAddress()

нт!_MMPTE

MMPTE — это представление менеджерами памяти записи таблицы страниц (PTE), которая используется блоком управления памятью ЦП (MMU) для преобразования виртуального адреса (VA) в физический адрес (PA).Количество уровней трансляции, необходимых для сопоставления виртуального устройства с PA, зависит от типа процессора. Например, X86 использует 2-уровневую трансляцию (PDE и PTE), X86 при работе в режиме PAE использует 3-уровневую трансляцию (PPE, PDE и PTE), а ЦП X64 использует 4-уровневую трансляцию (PXE, PPE, PDE, PTE). . Поскольку формат различных уровней структур, т. е. PXE, PPE, PDE и PTE, аналогичен, MMPTE можно использовать для представления не только PTE, но и любой из этих структур трансляции.

Структура MMPTE представляет собой объединение нескольких подструктур, которые используются механизмом обработки ошибок страниц диспетчеров памяти Windows для поиска местоположения страницы, представленной PTE.Например, когда PTE содержит действительный физический адрес страницы, а MMU может использовать PTE для преобразования адресов, используется подструктура u.Hard .

Когда страница удаляется (обрезается) из рабочего набора процесса, диспетчер памяти Windows помечает PTE страницы как недопустимый с аппаратной точки зрения и переназначает PTE для хранения конкретной информации ОС о странице. В результате этого модуль управления памятью ЦП (MMU) больше не может использовать этот PTE для преобразования адресов.В случае, если процесс пытается получить доступ к такой странице, ЦП генерирует ошибку страницы, вызывая обработчик ошибок страницы Windows. Информация, закодированная в PTE, теперь используется для обнаружения страницы и возвращения ее в рабочий набор процесса, что устраняет ошибку страницы. Примером этого является PTE перехода, который представляет страницу в режиме ожидания или в измененном состоянии. В этом случае подструктура u.Transition используется для хранения информации о странице.

Когда содержимое физической страницы сохраняется в файле подкачки, диспетчер памяти Windows изменяет PTE, чтобы указать на расположение страницы в файле подкачки, и в этом случае u.Используется подструктура Soft . Поле u.Soft.PageFileLow определяет, какой из 16 файлов страниц, поддерживаемых Windows, содержит страницу, а поле u.Soft.PageFileHigh содержит индекс страницы в этом конкретном файле подкачки.

Команда отладчика «!pte» отображает содержимое всех уровней таблицы страниц для заданного виртуального адреса.

нт!_MMPFN

Диспетчер памяти Windows хранит информацию о каждой физической странице в системе в массиве, называемом базой данных PFN.Структура MMPFN представляет отдельные записи в этой базе данных и содержит информацию об одной физической странице.

Переменная nt!MmPfnDatabase указывает на массив структур MMPN, составляющих базу данных PFN. Количество записей в базе данных PFN равно nt!MmPfnSize и содержит дополнительные записи для оперативной памяти. В целях экономии памяти структура MMPFN плотно упакована. Интерпретация каждого поля отличается и зависит от состояния страницы.

Состояние физической страницы хранится в u3.e1.PageLocation , определяемом одной из записей перечисляемого типа nt!_MMLISTS.

Поле u2.ShareCount содержит количество PTE процессов, указывающих на страницу, которых может быть больше одного в случае общих страниц.

Поле u3.e2.ReferenceCount содержит количество ссылок на странице, включая количество блокировок в случае блокировки страницы.Этот счетчик ссылок уменьшается, когда u2.ShareCount становится равным нулю.

PteAddress указывает на специфичную для процесса или прототипную структуру PTE, которая указывает на эту конкретную запись PFN.

Команда отладчика «!pfn» отображает содержимое структуры MMPFN для заданной физической страницы.

нт!_MMPFNLIST

Диспетчер памяти поддерживает связи между физическими страницами, которые находятся в одном и том же состоянии. Это ускоряет задачу поиска одной или страниц в заданном состоянии e.г. свободные страницы или страницы, которые обнулены. Структура MMPFNLIST поддерживает заголовок этих списков. В системе есть несколько структур MMPFNLIST, каждая из которых содержит страницы в определенном состоянии и расположена в переменной ядра nt!MmListHead, где может быть Standby, Modified, ModifiedNoWrite, Free, Rom, Bad, Обнулено. Страницы, которые находятся в активном состоянии, т. е. страницы, которые в настоящее время принадлежат рабочему набору процесса, не поддерживаются ни в одном списке.

В более новых версиях Windows nt!MmStandbyPageListHead не используется, вместо этого резервные страницы поддерживаются в наборе из 8 списков с приоритетом в nt!MmStandbyPageListByPriority. Точно так же nt!MmFreePageListHead и nt!MmModifiedPageListHead больше не используются, вместо этого такие страницы сохраняются в списках nt!MmFreePagesByColor и nt!MmModifiedProcessListByColor или nt!MmModifiedPageListByColor соответственно.

Поля MMPFN.u1.Flink и MMPFN.u2.Blink структуры MMPFN для конкретной страницы используются для сохранения страницы в двойном связанном списке.Заголовки этих списков хранятся в полях Flink и Blink соответствующих структур MMPFNLIST.

Поле ListName имеет перечисляемый тип MMLISTS, который определяет тип страниц, связанных с этим списком.

Команда отладчика «!memusage 8» отображает количество страниц в определенном состоянии.

нт!_MMWSL

Каждый процесс в Windows имеет связанный с ним рабочий набор, состоящий из страниц, на которые процесс может ссылаться, не вызывая ошибки страницы.Обрезчик рабочих наборов (WST), компонент диспетчера памяти, работающий в контексте потока KeBalanceSetManager(), пытается удалить страницы, которые не используются процессом, и перераспределить их другим процессам, которым они действительно нужны. . Для выполнения этой задачи WST необходимо хранить информацию о рабочем наборе каждого процесса в системе. Эта информация хранится в структуре MMWSL. EPROCESS.Vm.VmWorkingSetList каждого процесса указывает на структуру MMWSL для этого процесса.

MMWSL каждого процесса в системе отображается на один и тот же адрес в части HyperSpace виртуального адресного пространства ядра. HyperSpace — это часть виртуального адресного пространства ядра, которая имеет сопоставление для каждого процесса, в отличие от единого общего сопоставления для всех процессов, как в случае с остальной частью виртуального адресного пространства ядра. Следовательно, диспетчер памяти в любой момент может получить доступ только к MMWSL текущего процесса, т. е. процесса, поток которого в данный момент выполняется на ЦП.

Поле Wsle структуры MMWSL указывает на основу массива записей рабочего набора для процесса. Количество допустимых записей в массиве находится в EPROCESS.Vm.WorkingSetSize.

нт!_MMWSLE

Структура данных MMWSLE представляет запись списка рабочих наборов для одной страницы в рабочем наборе процесса, поэтому существует одна структура MMWSLE для каждой страницы, являющейся частью рабочего набора процесса. Эта структура данных используется обрезчиком рабочего набора, чтобы определить, является ли эта конкретная страница потенциальным кандидатом на отсечение i.е. удаление из рабочего множества процесса.

Когда процесс пытается получить доступ к странице, которая является частью его рабочего набора, модуль управления памятью ЦП (MMU) устанавливает бит MMPTE.Hard.Accessed в PTE, который соответствует этой странице. Триммер рабочего набора просыпается через регулярные промежутки времени и сканирует часть WSLE процесса. Во время этого периодического сканирования он проверяет, был ли доступ к конкретной странице с момента последнего запуска, проверяя доступный бит PTE. Если к странице не обращались с момента последнего сканирования, страница постепенно устаревает путем увеличения u1.поле e1.Age . Если к странице обращались с момента последнего сканирования, поле u1.e1.Age обнуляется. Когда значение u1.e1.Age достигает значения 7, страница считается потенциальным кандидатом на обрезку.

u1.e1.VirtualPageNumber — это старшие 20 бит (на X86) или 52 бита (на X64) виртуального адреса страницы, представленной MMWSLE.

Команда отладчика «!wsle» отображает записи списка рабочих наборов для определенного процесса.

Распределение динамической памяти в ядре осуществляется из невыгружаемого пула, выгружаемого пула или пула сеансов. В зависимости от размера запрашиваемой памяти, выделения пула подразделяются на выделения малого пула (размер < 4 КБ) и выделения большого пула (размер >= 4 КБ). Размер выделенного пула всегда округляется до ближайшего кратного 8 байтам в системах X86 и 16 байтам в системах X64.

Каждое выделение небольшого пула состоит из заголовка пула, области данных, в которой распределитель хранит данные, и нескольких байтов заполнения для удовлетворения требований детализации.Заголовок пула представлен структурой POOL_HEADER, которая содержит информацию об области данных, следующей за заголовком.

Поле BlockSize содержит размер блока пула, включая заголовок и любые байты заполнения. Поле PreviousSize содержит размер предыдущего блока (смежного блока по более низкому адресу). И BlockSize, и PreviousSize хранятся в кратном 8 байтах на X86 и кратном 16 байтах на X64.Поле PoolTag содержит 4-символьный тег, который помогает идентифицировать владельца выделенного пула, который в основном используется для отладки. Если установлен старший бит (т. е. бит 31) тега пула, выделение пула помечается как защищенное.

Выделения большого пула не содержат POOL_HEADER, встроенного в выделение, вместо этого заголовки пула хранятся в отдельной таблице, называемой nt!PoolBigTable. Это необходимо, поскольку выделение больших пулов должно быть выровнено по границе страницы (4 КБ).

Команда отладчика «!pool» отображает информацию обо всех блоках пула на странице с любым адресом на этой странице пула. «!vm» отображает информацию о потреблении пула. «!poolused» отображает количество использованных байтов и количество блоков для всех тегов пула. «!poolfind» находит выделение пула для определенного тега. «!poolval» проверяет заголовки пула на наличие повреждений, обратите внимание, что он не проверяет на наличие повреждений фактические данные пула. «!frag» отображает информацию о фрагментации внешнего пула в невыгружаемом пуле.Выходные данные показывают количество свободных блоков (фрагментов), которые доступны совокупно на всех страницах системы, не входящих в пул, и объем памяти, который они занимают.

API: ExAllocatePoolWithTag(),ExAllocatePoolWithQuotaTag(), ExFreePool().

нт!_MMVAD

Структуры MMAD представляют собой дескрипторы виртуальных адресов (VAD) и используются для описания виртуально смежных областей виртуального адресного пространства пользовательского режима процесса.Каждый раз, когда часть виртуального адреса процесса резервируется для использования VirtualAlloc() или MapViewOfSection(), создается одна структура MMVAD. MMVAD выделяются из невыгружаемого пула и организуются в виде дерева AVL. У каждого процесса есть собственное дерево VAD, которое используется только для описания виртуального адресного пространства пользовательского режима, т. е. нет VAD для виртуального адресного пространства ядра.

StartingVpn и EndingVpn содержат старшие 20 бит (на X86) или 52 бита (на X64) начального и конечного виртуального адреса, соответственно, области, описываемой VAD.Поля LeftChild и RightChild указывают на узлы на следующем более низком уровне дерева VAD.

Команда отладчика «!vad» отображает информацию о структуре VAD для процесса.

API: ZwAllocateVirtualMemory(), ZwMappedViewOfSection(), MmMapLockedPagesSpecifyCache()

Диспетчер кэша

нт!_VACB

Виртуальное адресное пространство системного кэша разделено на 256 КБ (определяется параметром ntifs.h константа VACB_MAPPING_GRANULARITY) блоки, называемые представлениями. Это число также определяет степень детализации и выравнивания файлов, отображаемых в системный кэш. Для каждого представления диспетчер кэша поддерживает блок управления виртуальными адресами (VACB), который содержит информацию о представлении.

Глобальные переменные ядра CcNumberOfFreeVacbs и CcNumberOfFreeHighPriorityVacbs вместе определяют количество VACB, доступных для выделения. Все такие VACB хранятся в списке CcVacbFreeList или CcVacbFreeHighPriorityList.Для этого используется поле Ссылки.

Поле BaseAddress указывает на начальный адрес представления в системном кеше, который описывает VACB и генерируется функцией MmMapViewInSystemCache().

Поле SharedCacheMap указывает на структуру карты общего кэша, которой принадлежит этот VACB, и описывает раздел сопоставленного файла, который VACB отображает в представлении.

Поле ArrayHead указывает на структуру VACB_ARRAY_HEADER, содержащую VACB.

Команда отладчика «!filecache» отображает информацию об используемых структурах VACB.

VACB распределяются вместе фрагментами структуры 4095, сопровождаемой заголовком VACB_ARRAY_HEADER, который используется для управления VACB. За структурой VACB_ARRAY_HEADER сразу следует массив структур VACB.

Размер одной единицы распределения заголовка массива VACB составляет 128 КБ, включая VACB_ARRAY_HEADER и следующие за ним 4095 структур VACB.Таким образом, каждое устройство может отображать до 1023 МБ виртуального адресного пространства системного кэша (один VABC отображает 256 КБ). Максимальное количество структур VACB_ARRAY_HEADER и встроенных VACB ограничено общим виртуальным адресным пространством системного кэша, т. е. 1 ТБ на X64 и 2 ГБ на X86. Таким образом, в системах X86 может быть не более 2 структур VACB_ARRAY_HEADER для всей системы.

Переменная ядра CcVacbArrays указывает на массив указателей, указывающих на структуры VACB_ARRAY_HEADER. Поле VacbArrayIndex является индексом этой конкретной структуры VACB_ARRAY_HEADER в массиве CcVacbArrays.Переменная CcVacbArraysHighestUsedIndex содержит индекс последней использованной записи в массиве CcVacbArrays. Этот массив защищен спин-блокировкой очереди CcVacbSpinLock.

Количество структур заголовков VACB_ARRAY_HEADER, которые в настоящее время распределены по всей системе и на которые указывает CcVacbArrays, хранится в глобальной переменной CcVacbArraysAllocated.

нт!_SHARED_CACHE_MAP

SHARED_CACHE_MAP используется диспетчером кеша для хранения информации о частях файла, которые в данный момент кэшируются в виртуальном адресном пространстве системного кеша.Для кэшированного файла существует один экземпляр структуры SHARED_CACHE_MAP для всех открытых экземпляров файла. Таким образом, структуры SHARED_CACHE_MAP связаны с файлом, а не с открытым экземпляром файла. Все FILE_OBJECT, представляющие открытые экземпляры определенного файла, указывают на одну и ту же SHARED_CACHE_MAP через поле SectionObjectPointers.SharedCacheMap в FILE_OBJECT.

Все VACB, отображающие части одних и тех же файловых потоков, доступны через одну и ту же структуру SHARED_CACHE_MAP.Структура карты общего кэша гарантирует, что конкретный раздел файла никогда не будет иметь более одного отображения в кэше.

Глобальная переменная CcDirtySharedCacheMapList содержит список всех структур SHARED_CACHE_MAP, содержащих представления с измененными данными. В этом списке есть специальная запись — глобальная переменная CcLazyWriterCursor, которая определяет начало подсписка структур SHARED_CACHE_MAP, подлежащих ленивой записи. CcLazyWriterCursor перемещается в CcDirtySharedCacheMapList после каждого прохода отложенной записи.Структуры SHARED_CACHE_MAP, содержащие представления без грязных страниц, хранятся в глобальном связанном списке в CcCleanSharedCacheMapList. Поле SharedCacheMapLinks используется для постановки SHARED_CACHE_MAP в очередь в списки CcCleanSharedCacheMapList или CcDirtySharedCacheMapList. 7 * 256 КБ), что превышает максимальный размер раздела, поддерживаемый диспетчером кеша, т.е.63).

Функция CcCreateVacbArray() создает массивы VACB, и все массивы VACB защищены принудительной блокировкой в ​​поле VacbLock .

Поле PrivateList является заголовком связанного списка, используемого для поддержания списка структур PRIVATE_CACHE_MAP, которые связаны с каждым открытым экземпляром файла, т. е. FILE_OBJECT. Поле PRIVATE_CACHE_MAP.PrivateLinks используется для связывания структур в списке.

Команда отладчика «!fileobj» отображает информацию о структуре SECTION_OBJECT_POINTER, которая, в свою очередь, содержит указатель на SHARED_CACHE_MAP.

нт!_PRIVATE_CACHE_MAP

Диспетчер кэша выполняет интеллектуальное кэширование с упреждающим чтением файла для повышения производительности. Эти операции упреждающего чтения выполняются независимо для каждого открытого экземпляра определенного файла. Структура PRIVATE_CACHE_MAP, связанная с каждым открытым экземпляром файла, поддерживает историю последних нескольких операций чтения файла и используется диспетчером кэша для выполнения интеллектуальных операций опережающего чтения для этого файла.

ФАЙЛ_ОБЪЕКТ.PrivateCacheMap указывает на структуру PRIVATE_CACHE_MAP, связанную с этим открытым экземпляром файла. Это поле инициализируется с помощью CcInitailizeCacheMap(), когда кэширование включено для этого файла, и очищается, когда кэширование отключается с помощью CcUninitializeCacheMap().

Поле FileObject указывает на FILE_OBJECT, с которым связан PRIVATE_CACHE_MAP. Операции упреждающего чтения выполняются, только если в поле FILE_OBJECT.Flags не установлен бит FO_RANDOM_ACCESS.

SHARED_CACHE_MAP.PrivateList указывает на структуры PRIVATE_CACHE_MAP для всех открытых экземпляров определенного файла. Структуры PRIVATE_CACHE_MAP для открытых экземпляров определенного файла связаны с этим списком через поле PrivateLinks .

Комбинация полей FileOffset1 , FileOffset2 , BeyondLastByte , BeyondLastByte2 используется для определения шаблона операций чтения, выполняемых в файле через этот конкретный FILE_OBJECT.Функция диспетчера кэша CcUpdateReadHistory() вызывается для обновления этих счетчиков при каждой операции чтения.

Поле Flags.ReadAheadEnabled определяет, требуется ли планирование операций упреждающего чтения для этого конкретного открытого экземпляра файла. Поле Flags.ReadAheadActive , которое устанавливается функцией CcScheduleReadAhead(), указывает, что рабочая процедура чтения в поле ReadAheadWorkItem в настоящее время активна.

Команда отладчика «!fileobj» отображает информацию о PRIVATE_CACHE_MAP.

API: CcIninitailizeCacheMap(), CcUninitailizeCacheMap(), CcIsFileCached()

нт!_SECTION_OBJECT_POINTERS

SECTION_OBJECT_POINTERS связан с файловым объектом и указывает на отображение файла и информацию, относящуюся к кешу для файла. Один файл может иметь 2 отдельных сопоставления: одно как исполняемый файл, а другое как файл данных.

Поле DataSectionObject указывает на область управления, структуру, которая служит связующим звеном между диспетчером памяти и файловой системой и используется для отображения файлов данных памяти.

Поле ImageSectionObject указывает на другую структуру области управления и используется для отображения исполняемых файлов памяти. В то время как сопоставление данных состоит из одного непрерывного виртуального устройства с одинаковыми атрибутами защиты, сопоставление образа состоит из сопоставления различных разделов исполняемого файла с несколькими диапазонами с различными атрибутами защиты.

Поле SharedCacheMap указывает на структуру SHARED_CACHE_MAP для файла, которая описывает, какие части файла кэшируются и где.

Поля в структуре SECTION_OBJECT_POINTERS, упомянутые выше, устанавливаются диспетчером памяти, а драйвер файловой системы связывает SECTION_OBJECT_POINTERS с файловым объектом.

API: CcFlushCache(), CcPurgeCacheSection(),CcCoherencyFlushAndPurgeCache(), MmFlushImageSection(), MmForceSectionClosed(), MmCanFileBeTruncated(), MmDoesFileHaveUserWritableReferences(), CcGetFileObjectFromSectionPtrsRef(), CcSetFileSizes()

Защита ядра Windows и взлом от новичков до экспертов

P.С. Если у вас возникнут какие-либо вопросы во время курса, пожалуйста, дайте мне знать. Кроме того, для взаимодействия со студентами и подключения

Вы когда-нибудь представляли себе работу в крупной ИТ-компании, такой как Microsoft, Google или Facebook? Вы когда-нибудь хотели стать профессиональным хакером в ядре и получить соответствующие знания и опыт от Microsoft Security Researcher? Если ответ ДА, не стесняйтесь пройти этот курс, я бы сказал, что он проведет вас от нуля к единице в безопасности ядра самым простым способом.

Понимание базовых знаний — большой плюс для карьерного роста. Помимо специалистов по безопасности, понимание этого также позволяет нам лучше отлаживать нашу программу высокого уровня. Этот курс покажет вам, как я исследую и использую знания ядра и низкого уровня в исследованиях и разработках для производства.

Посещая этот курс, вы сможете понять, что стоит за проектной сценой с низким уровнем безопасности, как это работает в целом за античитерским движком.

Вы поймете, как начать разработку драйверов в Windows, будь то хобби или карьера.

После этого курса вы сможете создать свой собственный античит-движок на уровне ядра, виртуализации и аппаратного обеспечения.

Практически, после этого курса вы будете знать, как писать свои собственные драйверы ядра для обеспечения безопасности, отлаживать ядро, устранять неполадки с синим экраном, разрабатывать решение для защиты от мошенничества на основе ядра, самостоятельно создавать оружие на основе ядра. , также позволяют разработать решение безопасности на основе гипервизора, чтобы самостоятельно создать оружие безопасности на основе гипервизора для атак и защиты.

Этот курс обучает технике в целом, однако, это полезные навыки для разработки или анализа анти-чита или руткита, а также игрового чита.

Это мой первый раз, когда я буду лектором. Надеюсь, у вас будет хороший журнал во время этого курса, и если у вас возникнут какие-либо вопросы во время этого курса, пожалуйста, дайте мне знать 🙂

Врагов больше нет: Microsoft приносит ядро ​​​​Linux к Windows

На протяжении десятилетий Microsoft Windows и операционная система Linux с открытым исходным кодом были полярными противоположностями.Windows была разработана крупнейшей в мире компанией-разработчиком программного обеспечения, которая не была другом открытого исходного кода. Linux был разработан разношерстной командой программистов, разбросанных по всему миру, часто работающих в свободное время. Но с годами открытый исходный код и, в частности, Linux стали мейнстримом. В настоящее время Linux работает на большинстве веб-серверов в мире и лежит в основе Android, самой популярной в мире операционной системы для мобильных устройств. Это заставило Microsoft изменить отношение к конкурирующей операционной системе.Сначала она начала поддерживать Linux в своей облачной службе Azure. Затем он начал выпускать программное обеспечение для Android и Linux и даже использовать Linux для внутренних нужд Azure. Теперь Microsoft переносит сердце Linux в Windows.

Благодаря функции под названием «Подсистема Windows для Linux» вы уже можете запускать приложения Linux в Windows. WSL, по сути, переводит команды, предназначенные для ядра Linux — основной части операционной системы, взаимодействующей с аппаратным обеспечением, — в команды для ядра Windows.Но теперь Microsoft встроит ядро ​​Linux в WSL, начиная с новой версии программного обеспечения, предварительный выпуск которой запланирован на июнь.

Чтобы было ясно, Microsoft не заменяет ядро ​​Windows. Ядро Linux будет работать как так называемая «виртуальная машина» — распространенный способ запуска операционных систем в операционной системе. Вам придется обязательно установить WSL, если вы хотите использовать ядро ​​Linux.

На первый взгляд это может показаться странной идеей. Но это имеет смысл для программистов, особенно веб-разработчиков.Linux — наиболее распространенная операционная система для запуска веб-серверов, но Windows по-прежнему лидирует в корпорациях. Упрощение запуска кода Linux в Windows является благом для разработчиков, которым необходимо использовать машину Windows для написания кода, работающего на серверах Linux.

WSL также может помочь Microsoft завоевать расположение программистов, использующих продукты Macintosh. MacOS основана на Unix-предшественнице Linux и долгое время была фаворитом среди веб-разработчиков, которым нужна среда разработки, подобная Linux, которая также поддерживает коммерческие приложения, недоступные в Linux.Но есть различия между Unix и Linux.

Программист, дизайнер и преподаватель из Сиэтла Итан Шуновер говорит, что отказался от использования Linux, за исключением серверов, потому что ему нужно было изначально запускать приложения Adobe, такие как Photoshop и Illustrator. В течение многих лет он использовал MacOS, но, по его словам, время от времени обнаруживал несовместимость между его серверами Mac и Linux. И он пропустил инструменты, которые его любимая версия Linux, Arch, предлагает для установки и обновления программного обеспечения. «Справедливо также сказать, что macOS не получила такого внимания и развития, как iOS, и это видно», — говорит Шуновер.Поэтому он переключился на Windows с WSL, где он может запускать набор инструментов и приложений Arch.

«Это не идеально, и время от времени возникают странные проблемы, которые напоминают мне, что я все еще живу на машине с Windows, но в целом WSL претерпел кардинальные изменения», — говорит Шуновер.

До того, как Microsoft выпустила первую версию WSL в 2016 году, разработчики могли запускать Linux на виртуальной машине. Но это означало запуск всей операционной системы, что не особенно эффективно. WSL позволил запускать многие из тех же инструментов и приложений в Windows без необходимости в виртуализации.Но у этой идеи были свои проблемы с производительностью, особенно при работе с файловой системой Windows, согласно сообщению в блоге менеджера программ Microsoft Крейга Лоуэна. Виртуализация только ядра Linux при исходном запуске всего остального — интригующий компромисс, который, как пишет Лоуэн, улучшит производительность приложений Linux в Windows в 20 раз, в зависимости от того, насколько приложение взаимодействует с Windows.

Настройка лаборатории виртуальных машин Windows для отладки ядра

Это первая статья из серии статей об отладке ядра Windows и эксплуатация.

В этой части мы подробно расскажем, как все настроить с помощью Linux. host, VirtualBox в качестве гипервизора и виртуальные образы Windows от Modern.IE.

Примечание : здесь нет ничего новаторского, эти сообщения в основном заметки и напоминания на будущее. Другие люди проделали фантастическую работу, освещая то же самое. тема, так что вам, вероятно, будет интереснее читать их 😁

Мне нравится работать на хосте Linux, поэтому я использую VirtualKD это не вариант.Итак, моя настройка:

• Debian тестирует x64 в качестве хоста
• VirtualBox как гипервизор
• А Действующая виртуальная машина Windows 7 x64 как отладчик.
• И 2 отладчика:
  1. ВМ Windows 7 x86 (с использованием UART в качестве среды отладки)
  2. Windows 8.1 x64 VM (использующая сеть в качестве среды отладки)

В качестве товара я создал Vagrantfile для упрощения виртуальной машины процесс создания с использованием Vagrant .Вы можете создать новый Виртуальная машина Windows, подобная этой

  $ клон git https://github.com/hugsy/modern.ie-vagrant Windows7
$ компакт-диск Windows7
$ FIRSTBOOT=1 vagrant up --provision  

и иди выпей кофе ☕

Подготовка виртуальной машины отладчика

После создания виртуальной машины и правильной установки Windows отредактируйте параметры виртуальной машины в VirtualBox сделать следующее:

• На вкладке «Последовательные порты» включите один порт. Вы можете использовать любой «Номер порта» вы хотите, просто запомните его, так как вам нужно будет указать его для WinDBG Отладчик Win7 готов.Выберите Host Pipe в качестве «Port Mode» и введите локальный путь в поле «Путь/Адрес» (например, /tmp/win7-kd-pipe ). Этот pipe будет ретранслятором, который VirtualBox будет использовать для связи между отладчик и отлаживаемый через UART. Наконец, убедитесь, что «Подключиться к существующему pipe/socket» — это непроверенный .

• на вкладке «Сеть», поверх сети NAT по умолчанию, созданной VirtualBox, добавьте и включите другой адаптер как Host-Only.Затем свяжите его с существующий интерфейс на хосте (например, vboxnet0 ).

Теперь отладчик готов, вам нужно установить WinDBG в качестве отладчика ядра. А быстрый способ — использовать Chocolatey в приглашении администратора для его установки. как таковой:

  C:\> @"%SystemRoot%\System32\WindowsPowerShell\v1.0\powershell.exe" -NoProfile -InputFormat None -ExecutionPolicy Bypass -Command "iex ((New-Object System.Net.WebClient).DownloadString('https://chocolatey.org/install.ps1'))" && SET "PATH=%PATH%;%ALLUSERSPROFILE%\chocolatey\bin"

C:\> choco install -y --force windbg  

Хотя при этом не будет установлена ​​самая последняя версия WinDBG, такой подход удобен. пройти через загрузку и установку SDK от MS Веб-сайт. Кроме того, вы можете написать сценарий для установки дополнительных инструментов, полезных для позже ( python , ConEmu , HxD и т. д.)

Настройка отладки UART на цели Windows 7

Примечание : Все описано здесь.

Все ОС могут быть отлажены ядром через последовательный порт (или UART). Хотя этот метод универсальный, он же и самый медленный.

Чтобы включить его, запустите отладочную виртуальную машину Windows 7, откройте cmd.exe как Администратор и добавить еще одну запись в загрузчик используя утилиту bcdedit :

  C:\> bcdedit /copy {current} /d "Windows 7 с отладкой ядра через COM"  

Затем включите режим отладки для новой записи UUID:

  C:\> bcdedit /debug {UUID-RETURNED-BY-FORMER-COMMAND} на  

Теперь укажите последовательную связь Windows как средство отладки и используйте «самая быстрая» скорость передачи данных (т.e 115200 символов/сек). Поскольку мы будем использовать только последовательный отладки для этой виртуальной машины, мы можем использовать глобальный переключатель bcdedit /dbgsettings .

  C:\> bcdedit /dbgsettings последовательный порт отладки: 1 скорость передачи: 115200  

Примечание : если мы хотим установить параметры отладки, специфичные для одной записи загрузки loader, мы бы использовали вместо этого bcdedit /set . Например:

  C:\> bcdedit /set {UUID-RETURNED-BY-FORMER-COMMAND} серийный номер отладки  

Теперь выключите виртуальную машину и перейдите к ее настройкам в VirtualBox ( Machine -> Настройки ) и во вкладке «Последовательные порты» включить один порт и привязать его к COM1 (поскольку мы использовали debugport:1 выше с bcdedit ), и выберите Host Труба в качестве режима порта.Последним укажите путь к файлу в поле Путь/Адрес , для пример /tmp/win7-kd-pipe .

Флажок Подключиться к существующему каналу/сокету означает, что отлаживаемый всегда нужно запускать после виртуальную машину отладчика, иначе VirtualBox выдаст ошибка.

Запуск сеанса отладки

В отладчике

Сначала запустите виртуальную машину отладчика и подготовьте WinDBG к отладке в режиме ядра. (Ctrl-K), выбрав COM в качестве вектора отладки:

После этого WinDBG будет ожидать соединения на COM1.

  Отладчик Microsoft (R) Windows версии 6.3.9600.17298 X86
Авторское право (c) Корпорация Microsoft. Все права защищены.

Открыт \\.\com1
Ожидание повторного подключения...

************* Сводка проверки пути символа **************
Время отклика (мс) Местоположение
Отложенный srv*c:\syms*http://msdl.microsoft.com/download/symbols  

На отлаживаемой программе

Запустите отлаживаемую программу и, когда появится меню загрузчика, выберите запись с именем Windows 7 с отладкой ядра через COM .

Как видите, Windows уже указывает, что эта запись будет в режиме отладки. И когда вы нажмете Enter, виртуальная машина отладчика будет присоединена к отлаживаемой программе.

Теперь вы отлаживаете ядро ​​виртуальной машины Windows 7 x86!! Но, как вы увидите, Serial Отладка порта резко замедлит все операции на отлаживаемой программе. Этот Вот почему такие проекты, как VirtualKD, ожили, но лично, если целевая виртуальная машина является Windows 8+, мой любимый метод отладки ядра — сетевой, т.к. подробно ниже.

Настройка отладки сетевого ядра для целевой версии Windows 8+

Примечание : Все описано здесь.

ИМХО, этот метод самый лучший и быстрый для отладки ядра Windows, но он имеет 2 ограничения:

1. необходимо использовать совместимый сетевой адаптер (не такая большая проблема для VirtualBox или VMware)
2. отлаживаемый должен работать под управлением Windows 8 или более поздней версии.

При подготовке виртуальной машины обязательно добавьте дополнительную сетевую карту только для хоста и связан с тем же интерфейсом, что и указанный на хосте (я.е. vboxnet0 ). Важное примечание : в разделе «Дополнительно» выберите один из карта Intel Pro (предпочтительно PRO/1000 MT Desktop). Причина в том, что Отладка сетевого ядра Windows работает не со всеми сетевыми контроллерами.

Загрузите виртуальную машину, а затем откройте «Диспетчер устройств» (Панель управления -> Система -> Дополнительные параметры системы -> на вкладке Оборудование). Разверните «Сеть адаптеры» и выберите меню свойств второго устройства. В новом окне будет Поле «Расположение» потребуется для назначения этого интерфейса для отладки:

Это указывает нам параметры шины, которые нам нужно будет предоставить bcdedit позже, в формате :: (в данном случае 0.8.0 ).

Теперь откройте приглашение администратора и используйте утилиту bcdedit для создания новую запись в диспетчере загрузки, как мы делали в Windows 7, и включить отладку режим для него. Но в отличие от Windows 7, теперь нам нужно настроить свойства сети:

  C:\> bcdedit /dbgsettings net hostip:ip.of.debugger.vm порт:50000 ключ:Kernel.Debugging.Is.Fun
C:\> bcdedit /set {dbgsettings} busparams ..  

Запуск сеанса отладки

В отладчике

Сначала запустите виртуальную машину отладчика и подготовьте WinDBG к отладке в режиме ядра. (Ctrl-K), выбрав NET в качестве вектора отладки, и правильно установите порт и ключ.После этого WinDBG будет ожидать нового соединения:

  Отладчик Microsoft (R) Windows версии 6.3.9600.17336 AMD64
Авторское право (c) Корпорация Microsoft. Все права защищены.

Использование NET для отладки
Открыл WinSock 2.0
Ожидание повторного подключения...  

На отлаживаемой программе

Запустите виртуальную машину. Когда появится меню загрузчика, выберите его с сетевой режим ядра включен

Отладчик немедленно продемонстрирует некоторую активность. Обратите внимание, что выполнение отлаживаемая программа не остановится, поэтому вы можете в любой момент нажать Ctrl-Break, чтобы принудительно прерывание:

В этом посте мы представили 2 метода отладки ядра, в зависимости от целевая версия Windows.Существуют и другие методы (FireWire, USB отладка), но их немного сложнее поставить на место.

В следующем посте будет рассказано больше об эксплуатации ядра Windows 101. через некоторые уязвимости на в водитель ГЭВД.

Ура ✌