Windows 10内に隠されたLinuxカーネル

当初「Project Astoria」と呼ばれ、Windows 10 Threshold 2 for Mobileのベータビルドで提供されていたMicrosoftは、VFS、BSDソケット、ptrace、およびaの完全なサポートを含む、Windowsオペレーティングシステムのコアに完全なLinux 3.4カーネルを実装しました真正なELFローダー。 短いキャンセルの後、Windows 10 Anniversary Update（ "Redstone"）でBash Shellの相互運用性を装って戻ってきて改善されました。 この新しいカーネルと関連コンポーネントは、100％ネイティブで変更されていないLinuxバイナリを実行できます。つまり、NTはLinuxシステムコールの実行、スレッドグループのスケジュール、プロセスのフォーク、VDSOへのアクセスが可能になります！



カーネル特権を持つ本格的な組み込みのデフォルトでロードされるリング0ドライバーを使用して実装されているため、これは単なるラッパーライブラリやPOSIXサブシステムのようなユーザーモードシステムコールコンバーターではありません。 代替の仮想ファイルシステムレイヤー、ネットワークスタック、メモリおよびプロセス管理ロジック、およびカーネル内の複雑なELFパーサーとローダーの考えは、エクスプロイトライターを魅了するはずです。なぜ2つのカーネルがあるのに、単一のカーネルの攻撃対象から選択するのですか？



しかし、それは攻撃対象だけではありません-これはセキュリティソフトウェアにどのような影響を与えますか？ これらのfrankenLinuxプロセスは、Procmonまたは他のセキュリティドライバーに表示されますか？ PEBとTEBがありますか？ EPROCESSもありますか？ また、WindowsマシンとカーネルがLinux / Androidマルウェアに攻撃される可能性はありますか？ Linuxシステムコールはどのように実装およびインターセプトされますか？



いつものように、Windows OSのこのまったく新しいパラダイムシフトの内部を見て、ドキュメント化されておらず、サポートされていない境界に触れて、興味深い新しい設計上の欠陥や悪用可能な仮定を発見します。 Windows 10 Anniversary Update（ "Redstone"）マシン上。