Windows PatchGuard学习

打开 Win64AST工具，看一下 Rootkit Functions 里面，有些什么功能；rootkit，肯定是些很底层的功能，和安全相关；

看下有一项 禁止PatchGuard；

PatchGuard是什么，禁止了会如何？下面来学习；

1 PatchGuard
PatchGuard是Windows Vista的内核保护系统，防止任何非授权软件试图“修改”Windows内核，也就是说，Vista内核的新型金钟罩。

作用是：有效防止内核模式驱动改动

PatchGuard为Windows Vista加入一个新安全操作层；ASLR（Address Space Layout Randomization）亦在这个安全层之下。

PatchGuard能够有效防止内核模式驱动改动或替换Windows内核的任何内容，第三方软件将无法再给Windows Vista内核添加任何“补丁”。

2 禁止PatchGuard
    这是一个内核实验。
    按提示，首先要输入winload.exe和ntoskrnl.exe原来的路径；
    original，原来的；
    第三步是，拷贝文件，创建bcd项，禁止PEAUTH服务；然后即可禁止；

还涉及到BCD和PEAUTH两个概念，下面学习；

3 BCD 和 PEAUTH
BCD
   BCD(Boot Configuration Date)即系统引导配置数据，这是从Windows Vista开始才引入的。在Windows Vista/Server 2008中BootManager组件负责系统的初始化和引导工作，而与之相匹配系统的引导数据就存储在BCD中。

BCD数据管理工具
　　最常用也最熟悉的系统引导管理就是系统高级引导菜单了，在Windows 7下也不例外。

PEAUTH服务

    网上查不到资料；只有下面链接有个英文介绍；

http://batcmd.com/windows/7/services/peauth/

PEAUTH - Windows 7 Service
Protected Environment Authentication and Authorization Export Driver by Microsoft Corporation.

This service also exists in Windows 10, 8 and Vista.

Default Properties
Display name:    PEAUTH
Service name:    PEAUTH
Type:    kernel
Path:    %WinDir%system32driverspeauth.sys
Error control:    normal

Default Behavior
The PEAUTH service is a kernel driver. If the PEAUTH fails to load or initialize, the error is recorded into the Event Log. Windows 7 startup should proceed, but a message box is displayed informing you that the PEAUTH service has failed to start.
    从描述来看，此服务是一个内核驱动程序；一个内核驱动程序，配置为Windows服务，显示名称是 PEAUTH；

4 恢复
    禁止之后如何恢复？在 运行 框，输入msconfig；在 引导 tab里面操作，重启；

下回再做此实验；我正在写代码；上次玩这工具已经蓝屏挂了一次；

最后

以上就是小巧耳机为你收集整理的Windows PatchGuard学习的全部内容，希望文章能够帮你解决Windows PatchGuard学习所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错，欢迎将靠谱客网站推荐给程序员好友。