打開?Win64AST工具，看一下 Rootkit Functions 里面，有些什么功能；rootkit，肯定是些很底層的功能，和安全相關(guān)；

看下有一項 禁止PatchGuard；

PatchGuard是什么，禁止了會如何？下面來學(xué)習(xí)；

1 PatchGuard
PatchGuard是Windows Vista的內(nèi)核保護(hù)系統(tǒng)，防止任何非授權(quán)軟件試圖“修改”Windows內(nèi)核，也就是說，Vista內(nèi)核的新型金鐘罩。

作用是：有效防止內(nèi)核模式驅(qū)動改動

PatchGuard為Windows Vista加入一個新安全操作層；ASLR（Address Space Layout Randomization）亦在這個安全層之下。

PatchGuard能夠有效防止內(nèi)核模式驅(qū)動改動或替換Windows內(nèi)核的任何內(nèi)容，第三方軟件將無法再給Windows Vista內(nèi)核添加任何“補(bǔ)丁”。

2 禁止PatchGuard
? ? 這是一個內(nèi)核實驗。
? ? 按提示，首先要輸入winload.exe和ntoskrnl.exe原來的路徑；
? ? original，原來的；
? ? 第三步是，拷貝文件，創(chuàng)建bcd項，禁止PEAUTH服務(wù)；然后即可禁止；

還涉及到BCD和PEAUTH兩個概念，下面學(xué)習(xí)；

3 BCD 和 PEAUTH
BCD
? ?BCD(Boot Configuration Date)即系統(tǒng)引導(dǎo)配置數(shù)據(jù)，這是從Windows Vista開始才引入的。在Windows Vista/Server 2008中BootManager組件負(fù)責(zé)系統(tǒng)的初始化和引導(dǎo)工作，而與之相匹配系統(tǒng)的引導(dǎo)數(shù)據(jù)就存儲在BCD中。

BCD數(shù)據(jù)管理工具
　　最常用也最熟悉的系統(tǒng)引導(dǎo)管理就是系統(tǒng)高級引導(dǎo)菜單了，在Windows 7下也不例外。

PEAUTH服務(wù)

? ? 網(wǎng)上查不到資料；只有下面鏈接有個英文介紹；

http://batcmd.com/windows/7/services/peauth/

PEAUTH - Windows 7 Service
Protected Environment Authentication and Authorization Export Driver by Microsoft Corporation.

This service also exists in Windows 10, 8 and Vista.

Default Properties
Display name:?? ?PEAUTH
Service name:?? ?PEAUTH
Type:?? ?kernel
Path:?? ?%WinDir%\system32\drivers\peauth.sys
Error control:?? ?normal

Default Behavior
The PEAUTH service is a kernel driver. If the PEAUTH fails to load or initialize, the error is recorded into the Event Log. Windows 7 startup should proceed, but a message box is displayed informing you that the PEAUTH service has failed to start.
? ? 從描述來看，此服務(wù)是一個內(nèi)核驅(qū)動程序；一個內(nèi)核驅(qū)動程序，配置為Windows服務(wù)，顯示名稱是 PEAUTH；

4 恢復(fù)
? ? 禁止之后如何恢復(fù)？在 運(yùn)行 框，輸入msconfig；在 引導(dǎo) tab里面操作，重啟；

下回再做此實驗；我正在寫代碼；上次玩這工具已經(jīng)藍(lán)屏掛了一次；

總結(jié)

以上是生活随笔為你收集整理的Windows PatchGuard学习的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。