windows-kernel-security

Umiejętność dla badaczy bezpieczeństwa zajmujących się ochroną gier i niskopoziomowymi mechanizmami Windows. Zawiera wiedzę o strukturach jądra (EPROCESS, ETHREAD, MMVAD), systemach egzekwowania podpisów sterowników (DSE), ochronie przed modyfikacją kodu (PatchGuard), integralności kodu hipernadzorcy (HVCI) i technikach detekcji ukrytych sterowników. Idealna do pracy z callbackami czułymi na IRQL, inspekcją pamięci jądra, ścieżkami IOCTL i analizą mechanizmów anti-cheat działających na poziomie Ring 0.

1. Zainstaluj umiejętność w swoim środowisku Claude, wskazując katalog skills z repozytorium gmh5225/awesome-game-security. Umiejętność zostanie załadowana jako kontekst dla sesji badawczych.

2. Użyj umiejętności gdy pracujesz z zagadnieniami jądra Windows — opisz konkretny problem (np. analiza PatchGuard, badanie DSE, inspekcja struktur EPROCESS) a umiejętność dostarczy odpowiednią wiedzę o wewnętrznych mechanizmach.

3. Odwołuj się do kluczowych struktur i tabel wymienione w umiejętności: EPROCESS/ETHREAD dla procesów i wątków, MMVAD dla mapowania pamięci, SSDT dla tabeli usług systemowych, PiDDBCache i MmUnloadedDrivers dla śledzenia sterowników.

4. Kiedy analizujesz mechanizmy ochrony, skonsultuj się z umiejętności w kwestii PatchGuard (weryfikacja struktur jądra), Driver Signature Enforcement (wymaganie podpisanych sterowników) i HVCI (ochrona oparta na hipernadzorcy).

5. Wykorzystaj umiejętność do zrozumienia callbacków Ring 0, APC behavior, ścieżek IOCTL i technik detekcji stosowanych przez systemy anti-cheat — umiejętność zawiera szczegóły o tym, jak te mechanizmy działają i jakie struktury są inspektowane.

6. Dla badań sterowników zwróć uwagę na sekcje dotyczące DRIVER_OBJECT, DEVICE_OBJECT, IRP oraz wymogów HVCI — umiejętność pomaga zidentyfikować potencjalne luki w weryfikacji podpisów i ochronie kodu.