查看: 3635|回复: 51
收起左侧

[讨论] 来看看你的安全中心是否开启【内核模式硬件强制堆栈保护】附赠CET功能介绍和强开方案

[复制链接]
驭龙
发表于 2024-8-20 23:08:59 | 显示全部楼层 |阅读模式
本帖最后由 驭龙 于 2024-8-20 23:35 编辑

众所周知,从Intel第11代酷睿处理器开始,酷睿推出了名为Intel Control-Flow Enforcement Technology的技术,也就是CET,中文名为控制流强制技术,在微软安全中心的设备安全中的内核隔离,称之为内核模式硬件强制堆栈保护,这是一种比较强大的新型硬件安全技术,虽然不是无懈可击的技术,但也大幅提高了设备的安全性。

那么,你的电脑是否开启了Intel Control-Flow Enforcement Technology呢?

当然如果你的Windows 11安全中心→设备安全性→内核隔离选项,已经存在内核模式硬件强制堆栈保护。


那毋庸置疑,你的设备硬件以及系统已经开启了Intel Control-Flow Enforcement Technology功能,无需进行本帖子的验证方法。

按照Intel的14代处理器博锐平台介绍,CET功能又是一个博锐平台特供技术,但是,很多很多处理器的ARK信息中是有说支持CET功能的,比如说不支持博锐vPRO平台的i5-14400处理器,它是不支持vPRO平台的,但它的ARK信息显示,该处理器支持控制流强制技术CET,所以不是博锐平台的设备是否能开启CET功能呢?

今天我安装Intel处理器标识实用程序,发现PIU 7.1.8版本的驱动与内核模式硬件强制堆栈保护CET不兼容,系统会阻止PIU加载驱动,同时弹出警告对话框,提示内核模式硬件强制堆栈保护阻止了驱动运行,要求禁用CET功能。


由此,我觉得通过这种方法,可以让所有人测试自己的系统是否开启CET功能,如果你运行PIU 7.1.8版本(点击下载PIU 7.1.8),驱动加载失败,并且系统出现上图的提示,那么就证明你的系统已经开启CET,无论安全中心是否显示内核模式硬件强制堆栈保护,系统都已经获得硬件级别的CET保护。

如果成功运行PIU程序,并且识别设备信息,那就代表着你的系统没有开启CET,PIU的驱动成功正常加载。

可如果,你在ARK信息中确认,你的处理器有控制流强制技术,也就是支持CET,那么,你还是可以抢救一下你的设备,导入该注册表,重启系统以后,安全中心的设备安全显示内核模式硬件强制堆栈保护,那么,就算是强制开启CET功能了,不过开启CET的前置条件是开启VBS,也就是内核隔离。
强制开启CET功能的注册表

若要使用内核模式硬件强制实施堆栈保护,必须启用 内存完整性 ,并且必须运行支持 Intel Control-Flow 强制技术 或 AMD 影子堆栈的 CPU

注意,开启CET功能以后对个别的驱动程序会有不兼容,因此可能会出现不稳定,是否强制开启CET功能,请酌情考虑,出现任何问题,本人概不负责。

如果你开启CET功能以后不幸蓝屏,请进入安全模式,把附件中禁用CET功能的注册表导入,就应该可以禁用CET功能。


附上:内核模式硬件强制堆栈保护功能的介绍
内核模式硬件强制实施堆栈保护
内核模式硬件强制实施堆栈保护是基于硬件的 Windows 安全功能,使恶意程序难以使用低级驱动程序来劫持你的计算机。

驱动程序是一个软件,在这种情况下,操作系统 (Windows) 和键盘或网络摄像头等设备相互通信。 当设备希望 Windows 执行某些操作时,它会使用驱动程序发送该请求。

提示: 想了解更多关于驱动程序的信息吗? 请参阅,什么是驱动程序?

内核模式硬件强制实施堆栈保护的工作原理是防止攻击修改内核模式内存中的返回地址以启动恶意代码。 此安全功能需要包含验证正在运行的代码的返回地址的功能的 CPU。

在内核模式下执行代码时,恶意程序或驱动程序可能会损坏内核模式堆栈上的返回地址,以便将正常代码执行重定向到恶意代码。 在支持的 CPU 上,CPU 在驱动程序无法修改的只读影子堆栈上维护有效返回地址的第二个副本。 如果修改了常规堆栈上的返回地址,CPU 可以通过检查影子堆栈上返回地址的副本来检测此差异。 发生此差异时,计算机会提示停止错误(有时称为蓝屏),以防止恶意代码执行。

并非所有驱动程序都与此安全功能兼容,因为少数合法驱动程序出于非恶意目的而进行返回地址修改。 Microsoft已与众多驱动程序发布者合作,以确保其最新驱动程序与内核模式硬件强制实施堆栈保护兼容。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 4经验 +30 分享 +3 人气 +5 收起 理由
Picca + 1 精品文章
屁颠屁颠 + 30 + 3 版区有你更精彩: )
ziqianweiyang + 1 加分鼓励
HEMM + 3 不支持标准硬件安全性正喜笑颜开~

查看全部评分

Shake2333
发表于 2024-8-21 00:59:29 | 显示全部楼层
主要是一些反作弊驱动没有支持

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
驭龙
 楼主| 发表于 2024-8-21 01:02:15 | 显示全部楼层
Shake2333 发表于 2024-8-21 00:59
主要是一些反作弊驱动没有支持

奇怪,我电脑上也有米忽悠的星穹铁道和EPIC程序,并没有提示兼容问题,而且我好像都没看到米忽悠的驱动启动啊
ANY.LNK
发表于 2024-8-21 01:15:45 | 显示全部楼层
但……这是台AMD的设备()

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
驭龙
 楼主| 发表于 2024-8-21 01:30:27 来自手机 | 显示全部楼层
ANY.LNK 发表于 2024-8-21 01:15
但……这是台AMD的设备()

什么型号的AMD处理器?zen3以后的系列好像有影子堆栈保护,跟CET是一样的功能

话说你这设备安全功能真少的可怜啊
ANY.LNK
发表于 2024-8-21 01:41:09 | 显示全部楼层
驭龙 发表于 2024-8-21 01:30
什么型号的AMD处理器?zen3以后的系列好像有影子堆栈保护,跟CET是一样的功能

话说你这设备安全功能真 ...

AMD Ryzen 7 8845H w,看系统信息里写的这个

另附:我用的多数设备基本都只有这些个选项()
驭龙
 楼主| 发表于 2024-8-21 01:45:08 来自手机 | 显示全部楼层
本帖最后由 驭龙 于 2024-8-21 01:46 编辑
ANY.LNK 发表于 2024-8-21 01:41
AMD Ryzen 7 8845H w,看系统信息里写的这个

另附:我用的多数设备基本都只有这些个选项()

这个Zen4架构的处理器是应该支持影子堆栈保护技术的

我这边的设备安全功能好像是七个功能,不过我是24H2企业版系统,多两个功能,正常的23H2专业版好像是五个
ANY.LNK
发表于 2024-8-21 01:47:40 | 显示全部楼层
驭龙 发表于 2024-8-21 01:45
这个Zen4架构的处理器是应该支持影子堆栈保护技术的

我这边的设备安全功能好像是七个功能,不过我是24 ...

不过我的系统是自带的家庭版,所以可调控功能或许会少一些()
驭龙
 楼主| 发表于 2024-8-21 01:54:49 来自手机 | 显示全部楼层
ANY.LNK 发表于 2024-8-21 01:47
不过我的系统是自带的家庭版,所以可调控功能或许会少一些()

这是你的新设备吗?系统日志中有显示pluton安全处理器的启用信息吗?我这边因为没有pluton所以日志上说找不到pluton
ANY.LNK
发表于 2024-8-21 04:20:52 | 显示全部楼层
驭龙 发表于 2024-8-21 01:54
这是你的新设备吗?系统日志中有显示pluton安全处理器的启用信息吗?我这边因为没有pluton所以日志上说找 ...

好吧……第一次用AMD的设备……怎么看啊?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-21 22:35 , Processed in 0.133222 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表