前言

之前，跟着海哥学习了windows内核的一些机制，包括保护模式，异常处理，消息机制等等，使用的环境是XP系统。

但是，在实际工作中，面对需要用到x64内核相关的内容时，依旧会感到茫然无措，毕竟脑中的知识只局限在32位内核。

随着时代发展，64位系统未来必将成为主流，但苦于市面上关于x64的教程非常少，因此一直没有机会系统化学习。

前段时间才发现周壑老师出了一套名为「x64内核研究」的教程，不得不说周壑老师真是太牛了。

那么，就让我们一起来学习x64内核吧。

新特性

相较于x32内核而言，x64内核包含以下几个新特性

1. SMEP / SMAP
   分别为控制寄存器Cr4的两个标志位，用于控制内核对用户层的数据读写与执行的权限。
   例如如果像x32内核一样，在x64中做idt后门，那么可能会产生类似「三重错误」的错误。
2. KPTI
   内核页表隔离，Win10在2018年初更新的补丁，使得一个进程对应两个Cr3，处理用户层和内核层时拥有两个idt表。
3. 硬件漏洞（幽灵、熔断）相关（介绍）
4. CFG（介绍）
5. Patch Guard
   内核补丁保护，不能随意对x64内核进行patch，否则会触发不定时蓝屏。
6. DSE强制签名（介绍）

基础要求

1. C语言
2. x64汇编
3. x86保护模式

实验环境

1. 虚拟机：VMware Workstation（15.1.0）版本及以上
2. 操作系统：Windows 10 1903 （笔者使用的小版本是18362.356）
3. 调试器：Windbg（10.0.18362.1）
4. C语言（x64）开发环境：Visual Studio（2010）版本及以上
5. 驱动（x64）开发环境：WDK（7600）版本及以上
6. 其他工具：CE（7.0）版本及以上；DebugView（4.9.0）版本及以上

Guest Win10配置

1. 由于本次学习不涉及到VT，因此可以把VT支持关掉。
   
2. 可以调整蓝屏时产生转储文件的大小
   
3. 转储文件的路径最好也改一下：
   
4. 开启调试模式和测试模式

   // 1. 查看当前的启动项信息
   bcdedit /enum {current}
   // 2. 复制一个启动项，并开启调试模式和测试模式
   bcdedit /copy {current} /d "Windows Debug Entry"
   bcdedit /dbgsettings serial baudrate:115200 debugport:1
   //    ID是第一条命令执行后提供的启动项标识符
   bcdedit /debug {ID} ON
   bcdedit /set {ID} TESTSIGNING on
   // 3.（可选）添加一个只禁用驱动签名的启动项
   bcdedit /copy {current} /d "Windows Nointegritycheck Entry"
   //    ID是上一条命令执行后提供的启动项标识符
   bcdedit /set {ID} nointegritychecks on
   

问题解决

在尝试使用DbgView64监视核心时，可能会报错

解决方法：关闭UAC

1. 使用「Command+R」输入「gpedit.msc」，打开本地策略组编辑器。
2. 依次展开「计算机配置」-「Windows设置」-「安全设置」-「本地策略」-「安全选项」，在具体策略中找到用于账户控制相关配置
   
3. 将「用户账户控制：以管理员批准模式运行所有管理员」设置为「已禁用」。
   

好了，接下来进行重启，就能够监视核心了，然后就可以在Host OS使用WinDbg进行双机调试了。

参考资料

• bilibili周壑：x64内核研究系列教程

目录

前言

配置物理机

配置VMWare

进入win7系统进行配置

---

前言

此文章适合不会安装双机调试的win内核初学者观看，

看了各种安装资料，自己操作总是和资料上不同，各种报错，尝试了一下午终于安装好了。。。

在这片文章里我也会说一下我遇到的坑!!

看此文章的前提:

1.已经安装了wdk，安装教程百度

可以在这里:下载 Windows 驱动程序工具包 (WDK) - Windows drivers | Microsoft Docs

2.已经安装了vmware，安装教程百度

3.vmware上安装了win7x64系统，安装教程百度

我这里的iso文件是在这里下的:MSDN, 我告诉你 - 做一个安静的工具站

迅雷链接

ed2k://|file|cn_windows_7_professional_with_sp1_x64_dvd_u_677031.iso|3420557312|430BEDC0F22FA18001F717F7AF08C9D5|/

配置物理机

安装完wdk后，会安装windbg，

我的路径是

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Kits\Debugging Tools for Windows (X64)

win10系统可以win+Q键搜索

 打开文件位置

 把快捷方式复制到桌面

右键快捷方式，点击属性

 在目标里加上

-b -k com:pipe,port=\\.\pipe\com_1,resets=0

原来是: "D:\Windows Kits\10\Debuggers\x64\windbg.exe"

加上后是: "D:\Windows Kits\10\Debuggers\x64\windbg.exe" -b -k com:pipe,port=\\.\pipe\com_1,resets=0

然后点击应用，点击确定即可

配置VMWare

如果启动了windows7系统先关闭

编辑虚拟机

 把打印机移除

移除之后点下方的添加

 

 选择串行端口，点完成

在进行如下图的设置

 命名的管道填如下内容:

\\.\pipe\com_1

进入win7系统进行配置

然后开启虚拟机

 进入win7系统

以管理员身份运行cmd，输入

bcdedit

出现以上内容说明你是以管理员身份运行的

然后以下命令依次输入：

bcdedit /dbgsettings serial baudrate:115200 debugport:1

bcdedit /copy {current} /d "Windows7"

 此时会给你一个很长的ID，放在下面指令里即可

bcdedit /displayorder {current} {ID}

bcdedit /debug {ID} ON

注：上面两个指令的ID替换成之前给你的很长的一串字母

设置完毕后重启即可

然后打开windbg

在启动调试程序之前打开

这时windbg会等待系统连接

重启后会发现多了一个启动调试程序

选择启动调试程序后windows会加载系统

然后windbg会有反应

这样表示系统与windbg连上了，这时系统会卡死

 在windbg下面的输入框里输入g

即可让系统运行起来

 windbg如下图所示表示系统在运行

按下Ctrl+Break即可暂停系统，进行调试

 这样就可以进行双机调试我们的驱动了，由于笔者也是刚学win内核，具体调试还没开始进行，如果以后有时间可能会发，感谢你的观看，再见~~

从上图上可以看出，windows内核主要层次划分为三个层次，以及windows子系统、文件系统、网络、设备驱动程序等几个部分。

•  硬件抽象层（Hardware Abstraction Layer，简称HAL）：主要是把所有与硬件相关联的代码隔离到一个专门模块中，从而使上面的层次尽可能做到独立于硬件平台。
• 内核层或微内核层（micro-kernel）：位于HAL硬件抽象层之上，主要包含了基本的操作系统原语和功能，如线程和进程、线程调度、中断和异常的处理、同步对象和各种同步机制。
• 执行体层(execution)：提供供应用层或者内核驱动程序直接调用的功能和语义。包含一个内核管理器，用于一致地管理执行体中的对象。

      执行体和内核层位于内核基本模块ntoskrnl.exe二进制模块中，二者的具体分工是：内核层实现操作系统的基本机制，执行体负责所有的策略的决定。执行体中的对象绝大多数封装了一个或者多个内核对象，并且通过某种方式（如句柄）提供给应用程序，体现了机制与策略分离的设计思想。

        windows内核为用户模式代码提供了一组系统服务，供应用程序使用内核中的功能，并且是通过一组系统DLL，最终通过ntdll.dll切换到内核模式下的执行体API函数中，来调用内核中的系统服务。ntdll.dll是这种调用的桥梁。对于内核提供的每一个系统服务，该DLL都提供一个响应的存根函数，这些存根函数的名称以“Nt”作为前缀，如NtCreateProcess、NtOpenFile和NtSetTimer等。另外ntdll.dll还提供了许多系统级的支持函数，如映像加载函数（前缀Ldr）、windows子系统通信函数（前缀Csr）、调试函数（前缀Dbg）、系统事件函数（前缀Etw），以及一般的运行支持函数（前缀Rtl）和字符串支持函数等。