win11内核隔离（Core Isolation）内存完整性的超频及性能相关

T.JOHN

省流：关了提升性能，减少对超频影响

目的：微软为了数据安全，在win11默认开启了内核隔离功能，其实win10也有。

原理：这个功能就是利用hyper-v的虚拟化能够阻止驱动级别恶意代码破坏系统，虚拟机防止（驱动）代码既可写又可执行，因此需要BIOS中开启VT-D之类的虚拟化技术。因此无论你打开或者关闭，系统都需要重启

定义：内核隔离（core isolation）是大框架，微软把它叫做Virtualization-based security基于虚拟化的安全技术，简称VBS。目前VBS套餐含三个项目
        1. Local Security Authority (LSA)
        2. Kernel Mode Code Integrity (KMCI)
        3. Hypervisor Code Integrity (HVCI)
第三个就是Memory Integrity，也就是内存完整性检查，在win11/win10中系统可调节的选项。开HVCI必开VBS，但是开VBS不是必须开HVCI


性能：tomshardware和computerbase都测了游戏性能，相比不开降低1~8%的fps，平均大概4~5%。computerbase测了分别只开VBS和HVCI，HVCI的显然比VBS降低了更显著

原因：众所周知虚拟化不可能获得母鸡的100%性能，再加上微软的套餐流，多打点折扣很正常

影响：
        1. 对超频电压的调节：开了HVCI会导致多数时候不能降压，少数时候不能升压。具体说明参考toppc的视频，https://youtu.be/uzXrq4CjncU?t=500
        2. aida64报虚拟化影响性能，大致上会慢1ns-2ns，对于我们show参数的chher，显然不能enjoy

        3. 开启HVCI，只能使用用户模式，测出来延时较高，使用管理员模式时，win11直接蓝屏。关闭HVCI可以使用mlc在管理员模式下进行测试。

        可以看到mlc管理员模式目的是修改cpu分支预测（intel：没人比我更了解intel的CPU），否则只能随机获取数据。实现的方式就是intel通过自带的mlcdrv.sys，很显然这是一个驱动文件（作为对比linux下只有一个mlc二进制文件，不含驱动文件），但是由于多了一层虚拟化，微软觉得代码不安全可以拒不执行，甚至蓝屏保护你，蓝屏报错也是说的这个驱动文件（100%蓝屏）。可见开启HVCI后，桌面二进制程序有点像microsoft store中的uwp程序一样，都运行在沙盒中。顺带说一句，同样硬件参数intel mlc v3.9在win11下最低延时49.0ns，linux可以跑到47.5ns，差了有点多

不兼容相关：
        测试期间，我在关闭HVCI后再打开时，发现打不开了。排查发现时alipaladin64.sys这个驱动的不兼容，再排查发现附带无法删除和禁用的AlibabaProtect.exe程序及其服务。我琢磨什么时候电脑上有阿里系软件了？看了看软件列表，原来是优酷视频客户端。看来相比360，我大阿里也不遑多让，看视频还要附送用户一个驱动+一个程序，连删都删不掉的那种，这种体贴真的哭死。友商爱奇艺和腾讯客户端咋就没跟进呢？搜索了半小时，大致流程资源监视器关句柄->删文件->删注册表->重启删除驱动，完成大阿里清洁。
        除了阿里的驱动，还有些游戏反作弊或者乱起八糟的驱动注入后也没法打开完整性。为了验证HVCI是否能阻值国产毒瘤，我又安装了一遍优酷客户端，显然是可以的。也就是说国产毒瘤虽然把驱动文件安装到了system32/driver文件夹下，但他并没真正生效（无法加载）。

playclan

HVCI默认是关闭的吗

T.JOHN

playclan 发表于 2022-11-13 19:02
HVCI默认是关闭的吗

win11某个补丁以后默认就开了，至少22h2是开的，并且时间点是toppc做视频之前。win10默认应该不开，否则早就被提及了，而且win11和win10策略还不太一样

xy.

开了 hvci 是不允许分配 PAGE_EXECUTE_READWRITE 的内存, 除非你经过 WHQL 签名

playclan

T.JOHN 发表于 2022-11-13 19:04
win11某个补丁以后默认就开了，至少22h2是开的，并且时间点是toppc做视频之前。win10默认应该不开，否则 ...

前几天新装的win11 22h2，看了下没开，应该是这里吧

T.JOHN

playclan 发表于 2022-11-13 19:07
前几天新装的win11 22h2，看了下没开，应该是这里吧

BIOS里面不开VT-D它就开不了了，笔记本和品牌机多数默认都开

vazkii

我这边想点进内核隔离的设置页面 怎么跟我说试图访问的页面不受支持因此不可用

goat

今天刚想着看看ryzen master就跳vbs，还带感叹号

houyuzhou

这个主要功能是检测检测国产流氓。
折腾这东西才发现阿里的底层病毒，哪怕阿里系软件都删了，病毒也还在。 最后引入火绒才干掉。

wzadww

换到win11后我就一直开着了。

pppig236

一年前就关了~我连杀毒软件都没有，不需要这些牺牲性能换安全的东西