![](https://habrastorage.org/files/aa0/fda/97b/aa0fda97bfad4128a62fdc83ffa70b33.png)
Известный гуру внутреннего устройства Windows 10 Alex Ionescu обмолвился в своем твиттере, что новая сборка Windows 10 Insider Preview содержит в своем составе ядро с внутренней функцией ntoskrnl!MiInitializeKernelCfg. Название функции указывает на возможную реализацию CFG в режиме ядра. Правда, пока, никаких других подтверждений этой гипотезы не представлено.
Защитной мерой CFG снабжены многие системные исполняемые файлы на Windows 8.1 & 10. Например, такие системные процессы как Svchost, Services, Winlogon, Explorer снабжены поддержкой CFG. Сама CFG требует поддержки как со стороны загрузчика исполняемых образов Windows, так и со стороны исполняемого файла. У последнего для данных CFG отводится отдельная директория в PE-заголовке.
![](https://habrastorage.org/files/31c/91a/977/31c91a9773a842f199167ad6fef1d3c8.png)
Рис. Диспетчер сервисов на Windows 8.1+ имеет встроенную поддержку CFG.
Если речь идет действительно о реализации CFG в режиме ядра, в новых сборках Windows могут появиться системные драйверы с поддержкой CFG. Новая функция безопасности поможет Windows справиться с LPE-эксплойтами, которые могут использовать различные методы эксплуатации для перехвата управления кода у работающего драйвера.
Поделиться с друзьями
izzholtik
А в чём суть этой технологии?
dartraiden
https://habrahabr.ru/company/dsec/blog/305960/