KDU项目在Windows 11 24H2中绕过驱动签名强制(DSE)的技术分析

背景介绍

KDU（Kernel Driver Utility）是一款用于研究Windows内核驱动签名强制（Driver Signature Enforcement，DSE）机制的工具。在Windows 11 24H2版本（build 26100.2894）环境中，用户尝试使用KDU调整DSE标志时遇到了问题，特别是在启用了VBS（Virtualization-Based Security）的情况下。

问题现象

在Windows 11 24H2环境中，当用户尝试使用KDU的46号提供程序（wnBios64.sys）调整DSE标志时，系统返回错误代码3221225477（0xC0000005，访问冲突）。错误日志显示：

[!] Error while writing to the kernel memory, GetLastError 3221225477

诊断信息显示系统启用了SecureBoot和WHQL强制，并且存在微软Hypervisor（VBS的一部分）。

技术分析

VBS的影响

VBS（基于虚拟化的安全）是Windows的一项安全功能，它利用硬件虚拟化技术创建隔离的内存区域，保护关键系统组件。当VBS启用时：

1. 内核内存保护机制更加严格
2. 对关键内核结构（如DSE标志）的调整会被阻止
3. 某些内存访问操作会被虚拟化层拦截

KDU的工作原理

KDU通过以下步骤工作：

1. 加载一个已知问题的合法签名驱动
2. 利用该驱动的问题获得内核内存写入权限
3. 定位并调整CI.dll中的DSE标志
4. 卸载问题驱动

在VBS启用环境下，第三步的内存写入操作会被阻止，导致失败。

解决方案

测试发现，在禁用VBS后，KDU可以成功调整DSE标志：

1. 使用49号提供程序（AppShopDrv103.sys）成功将DSE标志设置为0
2. 之后可以使用46号提供程序将DSE标志调整回6

关键成功日志：

[+] DSE flags (0xFFFFF8012D72D004) new value to be written: 0
[+] DSE patch executed successfully

技术限制

目前KDU使用的问题驱动无法绕过VBS的保护机制，这是因为：

1. VBS的Hypervisor保护层位于操作系统之下
2. 它对关键内存区域的访问有更严格的限制
3. 现有的技术方法无法突破虚拟化层的隔离

结论与建议

对于需要在Windows 11 24H2上使用KDU的研究人员：

1. 如果可能，暂时禁用VBS以获得所需功能
2. 关注KDU项目的更新，未来可能会增加对VBS环境的支持
3. 考虑其他不依赖调整DSE标志的驱动加载方法

这项研究展示了现代Windows安全机制对传统技术的有效防御，也提示我们需要开发新的方法来应对不断演进的安全环境。