X64内核保护：Plugfest_PPT_KPP与MS Patch Guard

"plugfest_PPT_KPP - 描述了微软针对X64内核的补丁保护机制，即Kernel Patch Protection (KPP)，也被称为PatchGuard。KPP旨在解决内核补丁带来的可靠性、性能和安全问题，尤其针对非法的内核修改。此机制在32位系统中可能破坏旧版应用程序，但在64位系统如Windows 2003 SP1 x64、Windows XP x64 Edition、Windows Vista x64和Windows 7 x64中，默认实施了内核保护策略，禁止对操作系统内核代码和数据的修改。微软与超过30个独立软件供应商(ISVs)合作，推动他们避免内核修补，尤其是那些实施安全软件、复制和防盗版保护的ISV。教育ISV使用现有的平台框架，如Windows过滤平台(WFP)、文件系统迷你过滤器、注册表回调、系统调用追踪等。Windows Vista SP1和Server 2008引入了新的API，以保护运行安全和其他软件的进程，提供对进程和线程访问事件的通知和控制。使用这些新功能的前提包括代码签名，ISV的参与和代码签名策略的执行正在进行中。" Kernel Patch Protection (KPP)，或称PatchGuard，是微软设计的一种内核安全特性，主要用于防止未经授权的修改64位Windows内核的行为。它旨在确保关键的内核代码和数据结构不被篡改，从而增强系统的可靠性、性能和安全性。在32位系统上，KPP可能导致兼容性问题，因为它可能会破坏一些老版本的合法应用程序，但这一问题在64位系统上得到了缓解。 KPP的实施始于Windows 2003 SP1 x64和Windows XP x64 Edition，随后在Windows Vista和Windows 7 x64中成为默认配置。当检测到内核资源的不一致性时，KPP会触发延迟的系统错误检查，以防止系统的不稳定或潜在危害。这为系统提供了一道防线，阻止黑客通过篡改内核来绕过安全防护。 微软认识到许多ISVs，特别是那些开发安全软件的公司，有时会依赖于内核级的修补。因此，他们启动了与30多家ISVs的合作项目，以教育并引导这些供应商转向更安全、更支持的开发实践，如利用Windows提供的框架和API。这些框架包括Windows Filtering Platform (WFP)，允许在不修改内核的情况下实现高级的网络和系统监控；文件系统迷你过滤器，可以对文件系统操作进行拦截和处理；注册表回调，用于监控和控制注册表更改；以及系统调用追踪，可以帮助识别和管理进程行为。 随着Windows Vista SP1和Server 2008的发布，微软引入了新的API，进一步增强了对承载安全软件和其他关键应用的进程的保护，同时也提供了对进程和线程访问事件的控制和通知。然而，为了确保代码的可信度，使用这些新功能需要ISV的代码经过签名验证，确保只有经过授权的代码才能运行。 Kernel Patch Protection作为微软内核安全的重要组成部分，通过限制内核级别的修改，促进了系统的稳定性和安全性，并推动ISV采用更加安全的编程模式，以减少对内核的依赖。