ETW概述

Event Tracing for Windows (ETW)是一种高效率的内核级跟踪工具，可以将内核或者应用程序定义的事件记录到日志文件中。使用者可以实时处理事件，也可以从日志文件中处理。

ETW可以动态地启用或禁用事件跟踪，无需重启计算机或应用程序。

sekurlsa

sekurlsa模块的主要命令和功能在kuhl_m_c_sekurlsa中定义

本篇介绍一些基础概念和相关知识

虚拟机架构

基于栈的（Stack-based）

基于栈的虚拟机主要通过栈来执行操作，比如两个数字20和7相加可以用如下方式进行：

步骤：

1. POP 20
2. POP 7
3. ADD 20,7,result
4. PUSH result

基于栈的优点：

1. 操作数由栈指针隐式寻址，虚拟机不需要显式地知道操作数地址
2. 平均指令长度更短

之前一直没有整理过的东西，现在补一下。

Virtualization-based security

Virtuallization-based security (VBS)是在Windows10添加的新功能，通过使用硬件虚拟化功能来创建和隔离安全内存区域与正常操作系统。VBS通过virtual trust level (VTL)来区分安全内存区域和正常操作系统，正常的用户模式和内核代码都运行在VTL 0当中，VTL 1中的代码对于VTL 0来说是隐藏的且不可访问的。VBS仅支持Windows企业版和服务器版。

游戏是steam上一款单机音游，难度有点高，在被虐了千百次后，我决定对这个游戏下手。

WFP简介

Windows Filtering Platform (WFP) 是用来创建网络过滤应用的一组API和系统服务，以代替以前的过滤技术比如Transport Driver Interface (TDI) filters，Network Driver Interface Specification (NDIS) filters，和Winsock Layered Service Providers (LSP)。

Paging

32-Bit Paging

启用条件：CR0.PG = 1 and CR4.PAE = 0.

寻址范围：40-bit physical addresses, linear addresses are limited to 32 bits.

首先感谢littleNA大佬的文章https://bbs.pediy.com/thread-230312.htm，看完这篇文章后事半功倍。