NT内核编程

Question

我想知道从哪里开始，或者挂接或修补windows内核(XP及更高版本)的可能性有多大。我对诸如McAfee Entercept之类的软件特别感兴趣，或者对某些可以修补内核的反病毒扫描程序感兴趣。我想知道一家初创公司创建在内核中添加功能的软件的可行性(我知道KPP，并且它可能被绕过)，以及这样做的任何重塑。我找不到一个简单的描述，只有有限的Win32经验。任何帮助都非常感谢，

J

进一步澄清:我并不是想要一个这样的驱动程序，如果在技术上可以将像PaX这样的东西移植到windows上，我会感兴趣的。这是一个不好的例子，因为windows已经有了一个实现，但是如果类似的技术可以在不访问NT源代码的情况下移植，我很感兴趣。

Answer 1

是的，与内核挂钩是非常有可能的。我强烈推荐Windows Internals和Rootkits这两本书。

这些应该会为您提供所需的所有信息。

Answer 2

Microsoft库允许您拦截来自进程的Detours调用，并插入或替换您自己的代码。

请注意，成功完成这类工作可能需要的不仅仅是有限的Win32经验。正如您可以想象的，这可能是一个非常复杂的主题。

Answer 3

开发驱动程序并不是一件容易的事情。反病毒软件需要处理文件系统(文件系统、过滤驱动程序)，这使得工作变得更加复杂。如果你尝试更详细地描述你试图实现的目标，这将是很有用的。

最推荐的驱动程序开发资源是OSR。有两个相关的邮件列表：

适用于文件系统驱动器开发的通用驱动程序development

• ntfsd的

1. ntdev

图书列表可以在here上找到。

除非驱动程序是您的核心业务(在这种情况下，请找到具有内核经验的人)，否则我强烈建议将这项工作外包出去。在上面的列表中，你可以找到大量的顾问。

Windows源代码基本上不能被访问:)不幸的是。要使用虚拟内存管理器，您必须处于内核模式，如果这是可能的话。

试着在ntdev上问这个问题，你会问到世界上大多数的内核开发者。你需要问更多具体的问题才能得到合理的答案(我会关注帖子，有趣的话题)。

如果正确理解你想要做什么，这在Windows上是不可能的。至少没有主要的逆向工程工作，但我主要与标准类型的驱动程序打交道，所以我认为我知道的还不够多，无法得出最终结论。

回复评论：

我不确定Entercept到底在做什么(在产品描述中没有找到任何显示他们在播放内存或进程权限的内容)。因此，定义最终目标，更具体的技术如何实现这可能是更有成效的方式。

对评论2的回应：

1.1。什么是盖子？

LIDS是由谢华刚和Philippe Biondi编写的对Linux内核的增强。它实现了几个Linux内核本身没有的安全特性。其中一些包括：

1. 强制访问控制-不知道这到底是什么意思。
2. 端口扫描检测器-这在this站点上看起来绝对可行。
3. 堆保护-文件系统筛选器驱动程序解释了ntdev保护-您可以在您的驱动程序中使用hook process creation，查看ntdev存档中有很多关于此的discussions。<代码>H221<代码>G222