微軟今日公布了即將成為Windows10一部分的新增安全功能的首批技術(shù)細(xì)節(jié)：

其全稱為“內(nèi)核數(shù)據(jù)保護(hù)”（KDP），旨在阻止惡意軟件/惡意威脅攻擊者修改或破壞操作系統(tǒng)的內(nèi)存數(shù)據(jù)。

軟件巨頭補(bǔ)充道：通過(guò)向開發(fā)者開放API的訪問，有助于其將Windows內(nèi)核的某些部分指定為只讀區(qū)域。

微軟基礎(chǔ)內(nèi)核團(tuán)隊(duì)今日表示：“當(dāng)攻擊者利用經(jīng)過(guò)簽名、但相當(dāng)脆弱的驅(qū)動(dòng)程序攻擊策略，來(lái)破壞數(shù)據(jù)結(jié)構(gòu)并安裝惡意的未簽名驅(qū)動(dòng)程序時(shí)，KDP可確保數(shù)據(jù)結(jié)構(gòu)不會(huì)被篡改，以減輕此類攻擊的影響”。

微軟還考慮到了新技術(shù)對(duì)其它軟件的影響，比如反作弊和數(shù)字版權(quán)管理（DRM）應(yīng)用程序。

【一階段：虛擬地址到客戶物理地址的轉(zhuǎn)換流程。圖自：Microsoft】

除了提升操作系統(tǒng)的整體安全性，KDP還具有其它優(yōu)點(diǎn)，比如：

●性能改進(jìn)：KDP可減輕驗(yàn)證組件的負(fù)擔(dān)，無(wú)需定期驗(yàn)證已被施加寫保護(hù)的數(shù)據(jù)變量；

●可靠性改進(jìn)：KDP可使診斷非安全漏洞類型的內(nèi)存出錯(cuò)問題變得更加輕松；

●激勵(lì)驅(qū)動(dòng)程序開發(fā)者和供應(yīng)商：KDP可改善基于虛擬化的安全兼容性，并提高生態(tài)系統(tǒng)中相關(guān)技術(shù)的采用率。

【二階段：GPA到SPA的物理地址轉(zhuǎn)換】

微軟表示，該公司一直致力于為Windows10添加名叫“基于虛擬化的安全性”的新技術(shù)（簡(jiǎn)稱VBS）。

它可借助計(jì)算機(jī)的基礎(chǔ)硬件來(lái)隔離安全區(qū)域，讓操作系統(tǒng)內(nèi)部可正常訪問“虛擬安全模式下”的內(nèi)存資源。

【層級(jí)結(jié)構(gòu)中NPT頁(yè)表的嵌套項(xiàng)】

KDP的工作原理是將內(nèi)核內(nèi)存區(qū)域標(biāo)記為已讀，然后將其移動(dòng)到VBS的“虛擬安全模式”下運(yùn)行。如此一來(lái)，即便操作系統(tǒng)本身，也無(wú)法越權(quán)對(duì)其進(jìn)行篡改。

微軟表示，想要在Windows10上啟用KDP安全特性的應(yīng)用程序，其唯一要求就是支持VBS功能。

【安全池中的VTL1到VTL0DELTA值】

如果你的計(jì)算機(jī)已經(jīng)從硬件上支持英特爾、AMD或ARM的虛擬化擴(kuò)展和二級(jí)地址轉(zhuǎn)換（包括AMD的NPT、英特爾的EPT、以及ARM的Stage2addresstranslation），均可無(wú)縫升級(jí)支持KDP功能。

可選的是硬件支持MBEC，特點(diǎn)是能夠降低與HVCI相關(guān)的性能成本。目前KDP已向Windows10Insider測(cè)試者開發(fā)體驗(yàn)，但微軟尚未公布其抵達(dá)穩(wěn)定版本的確切時(shí)間表。