Win10即将迎来KDP内核数据保护功能

微软今日公布了即将成为 Windows 10 一部分的新增安全功能的首批技术细节，其全称为“内核数据保护”（KDP），旨在阻止恶意软件 / 恶意威胁攻击者修改或破坏操作系统的内存数据。软件巨头补充道：通过向开发者开放 API 的访问，有助于其将 Windows 内核的某些部分指定为只读区域。

微软基础内核团队今日表示：“当攻击者利用经过签名、但相当脆弱的驱动程序攻击策略，来破坏数据结构并安装恶意的未签名驱动程序时，KDP 可确保数据结构不会被篡改，以减轻此类攻击的影响”。

微软还考虑到了新技术对其它软件的影响，比如反作弊和数字版权管理（DRM）应用程序。

一阶段：虚拟地址到客户物理地址的转换流程（图自：Microsoft）

除了提升操作系统的整体安全性，KDP 还具有其它优点，比如：

● 性能改进：KDP 可减轻验证组件的负担，无需定期验证已被施加写保护的数据变量；

● 可靠性改进：KDP 可使诊断非安全漏洞类型的内存出错问题变得更加轻松；

● 激励驱动程序开发者和供应商：KDP 可改善基于虚拟化的安全兼容性，并提高生态系统中相关技术的采用率。

二阶段：GPA 到 SPA 的物理地址转换

微软表示，该公司一直致力于为 Windows 10 添加名叫“基于虚拟化的安全性”的新技术（简称 VBS）。

它可借助计算机的基础硬件来隔离安全区域，让操作系统内部可正常访问“虚拟安全模式下”的内存资源。

层级结构中 NPT 页表的嵌套项

KDP 的工作原理是将内核内存区域标记为已读，然后将其移动到 VBS 的“虚拟安全模式”下运行。如此一来，即便操作系统本身，也无法越权对其进行篡改。

微软表示，想要在 Windows 10 上启用 KDP 安全特性的应用程序，其唯一要求就是支持 VBS 功能。

安全池中的 VTL1 到 VTL 0 DELTA 值

如果你的计算机已经从硬件上支持英特尔、AMD 或 ARM 的虚拟化扩展和二级地址转换（包括 AMD 的 NPT、英特尔的 EPT、以及 ARM 的 Stage 2 address translation），均可无缝升级支持 KDP 功能。

可选的是硬件支持 MBEC，特点是能够降低与 HVCI 相关的性能成本。目前 KDP 已向 Windows 10 Insider 测试者开发体验，但微软尚未公布其抵达稳定版本的确切时间表。