Preguntas sobre la programación del kernel de Windows
De hecho, la programación del kernel de Windows no solo es útil, sino que también se usa comúnmente. Sin duda, muchos de los programas que utilizamos todos los días utilizan la tecnología de programación del kernel de Windows. El más típico es el software antivirus de monitorización en tiempo real. Además, hay firewalls, unidades ópticas virtuales y 90 controladores. Estos programas tienen una característica única. Algunos de sus componentes son parte de Windows y pueden funcionar en todas las aplicaciones que se ejecutan en Windows.
Por lo tanto, la aplicación de la programación del kernel muchas veces aporta funciones más potentes al software tradicional y logra un salto tecnológico.
Pone un ejemplo. A menudo escuchamos que cifrar archivos puede hacerlos más seguros. El cifrado de archivos no requiere ningún componente del kernel. Podemos escribir una aplicación que lea un archivo, cifre los datos y luego los reescriba en un archivo cifrado. Lo mismo puede decirse del descifrado.
Pero en realidad esto no satisface las necesidades de los usuarios generales. Para los empleados de una empresa, esos "documentos importantes" son probablemente los archivos que utilizan todos los días para trabajar. Imagine que tiene que descargar archivos cifrados del servidor todos los días y luego descifrarlos utilizando una herramienta de descifrado. Luego comience a trabajar con Office. Una vez completado el trabajo, cifrelo con una herramienta de cifrado, cárguelo y luego elimine el documento de trabajo. Sin mencionar la inseguridad de los documentos que se almacenan en el disco duro en un formato descifrado la mayor parte del tiempo, ¿es aceptable este flujo de trabajo? Nadie lo aceptará.
Una forma más "humana" es permitir que Office abra directamente documentos cifrados. Al guardar, se guarda directamente como un documento cifrado. En el disco duro, este documento siempre está cifrado. Y transparente para los usuarios legítimos. Los usuarios ilegales sólo pueden ver el texto cifrado y no pueden editarlo ni leerlo. Y no se trata sólo de Office, sino también de AutoCAD, Visual Studio, Photoshop y todas las herramientas que los usuarios puedan utilizar para editar archivos confidenciales. ¿Es esto posible? Si no podemos modificar Office y otros software de trabajo.
Esto ciertamente es posible. Dado que escribimos un programa del kernel de Windows, por supuesto podemos permitir que el sistema de archivos de Windows realice un descifrado especial en procesos específicos al leer archivos del disco duro. Cuando este software lee los datos, lo que leen ya son datos normales. El proceso es el mismo que el análisis de virus en tiempo real, utilizando un controlador de filtrado de archivos. Esta es la tecnología de cifrado transparente de archivos de la que los lectores quizás hayan oído hablar.
En el libro "Pescando solo en el río frío: programación del kernel de Windows y seguridad de la información" (se espera que se publique el próximo año) en la misma serie que "Leer el libro por la noche: del lenguaje ensamblador a Windows Programación del kernel", el teclado La programación del kernel relacionada con la seguridad, como filtrado, filtrado de disco duro, filtrado de archivos, filtrado de red, etc., tiene explicaciones detalladas y ejemplos.
Otra característica de la programación del kernel es que estos códigos se ejecutan a nivel R0. El nivel R0 es el nivel de privilegio más alto. Tenga control total sobre la CPU. Esto es muy adecuado para algunos software de seguridad y, por supuesto, también es adecuado para realizar trabajos de daños. Debido a que el programa del kernel tiene los privilegios más altos (es decir, root), dicha tecnología se denomina tecnología rootkit en el campo de la seguridad (o campo de destrucción). La tecnología Rootkit es una de las tecnologías más novedosas en el campo de la seguridad actual.
Muchos virus utilizan tecnología rootkit. Se utiliza para ocultar archivos de virus, robar contraseñas, enviar paquetes de ataque, etc. Los virus rootkit son extremadamente difíciles de eliminar después de haber sido infectados. Prevenirlos antes de la infección es la forma más eficaz.
El kernel de Windows no tiene código fuente abierto. Sin embargo, MS proporciona un kit de desarrollo para programas del kernel de Windows: WDK. En realidad, WDK se utiliza principalmente para desarrollar controladores. Los controladores son básicamente programas del núcleo. Los archivos de encabezado y parte del código fuente proporcionado por WDK son en realidad parte del código del kernel de Windows.
El código de algunos controladores (como el sistema de archivos FAT32) es completamente público. También podemos ver el estilo de codificación de los desarrolladores del kernel de Windows aquí. Al mismo tiempo, Microsoft también proporciona tablas de símbolos para todas las versiones de Windows en línea para que los investigadores las descarguen. Y proporciona el extremadamente potente depurador WinDbg. Con ellos, puedes depurar fácilmente el kernel de Windows. Ya sea la parte del código que usted mismo escribió o la parte escrita por los desarrolladores del kernel de Windows. Aunque lo que ve es lenguaje ensamblador, los nombres de las funciones y los nombres de las variables globales existen. Y todos ellos (WDK, WinDBG, tablas de símbolos) son gratuitos.