打開(kāi)?Win64AST工具，看一下 Rootkit Functions 里面，有些什么功能；rootkit，肯定是些很底層的功能，和安全相關(guān)；

看下有一項(xiàng) 禁止PatchGuard；

PatchGuard是什么，禁止了會(huì)如何？下面來(lái)學(xué)習(xí)；

1 PatchGuard
PatchGuard是Windows Vista的內(nèi)核保護(hù)系統(tǒng)，防止任何非授權(quán)軟件試圖“修改”Windows內(nèi)核，也就是說(shuō)，Vista內(nèi)核的新型金鐘罩。

作用是：有效防止內(nèi)核模式驅(qū)動(dòng)改動(dòng)

PatchGuard為Windows Vista加入一個(gè)新安全操作層；ASLR（Address Space Layout Randomization）亦在這個(gè)安全層之下。

PatchGuard能夠有效防止內(nèi)核模式驅(qū)動(dòng)改動(dòng)或替換Windows內(nèi)核的任何內(nèi)容，第三方軟件將無(wú)法再給Windows Vista內(nèi)核添加任何“補(bǔ)丁”。

2 禁止PatchGuard
? ? 這是一個(gè)內(nèi)核實(shí)驗(yàn)。
? ? 按提示，首先要輸入winload.exe和ntoskrnl.exe原來(lái)的路徑；
? ? original，原來(lái)的；
? ? 第三步是，拷貝文件，創(chuàng)建bcd項(xiàng)，禁止PEAUTH服務(wù)；然后即可禁止；

還涉及到BCD和PEAUTH兩個(gè)概念，下面學(xué)習(xí)；

3 BCD 和 PEAUTH
BCD
? ?BCD(Boot Configuration Date)即系統(tǒng)引導(dǎo)配置數(shù)據(jù)，這是從Windows Vista開(kāi)始才引入的。在Windows Vista/Server 2008中BootManager組件負(fù)責(zé)系統(tǒng)的初始化和引導(dǎo)工作，而與之相匹配系統(tǒng)的引導(dǎo)數(shù)據(jù)就存儲(chǔ)在BCD中。

BCD數(shù)據(jù)管理工具
　　最常用也最熟悉的系統(tǒng)引導(dǎo)管理就是系統(tǒng)高級(jí)引導(dǎo)菜單了，在Windows 7下也不例外。

PEAUTH服務(wù)

? ? 網(wǎng)上查不到資料；只有下面鏈接有個(gè)英文介紹；

http://batcmd.com/windows/7/services/peauth/

PEAUTH - Windows 7 Service
Protected Environment Authentication and Authorization Export Driver by Microsoft Corporation.

This service also exists in Windows 10, 8 and Vista.

Default Properties
Display name:?? ?PEAUTH
Service name:?? ?PEAUTH
Type:?? ?kernel
Path:?? ?%WinDir%\system32\drivers\peauth.sys
Error control:?? ?normal

Default Behavior
The PEAUTH service is a kernel driver. If the PEAUTH fails to load or initialize, the error is recorded into the Event Log. Windows 7 startup should proceed, but a message box is displayed informing you that the PEAUTH service has failed to start.
? ? 從描述來(lái)看，此服務(wù)是一個(gè)內(nèi)核驅(qū)動(dòng)程序；一個(gè)內(nèi)核驅(qū)動(dòng)程序，配置為Windows服務(wù)，顯示名稱是 PEAUTH；

4 恢復(fù)
? ? 禁止之后如何恢復(fù)？在 運(yùn)行 框，輸入msconfig；在 引導(dǎo) tab里面操作，重啟；

下回再做此實(shí)驗(yàn)；我正在寫代碼；上次玩這工具已經(jīng)藍(lán)屏掛了一次；

總結(jié)

以上是生活随笔為你收集整理的Windows PatchGuard学习的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。