Satoshi Mimura, profile picture
Uploaded bySatoshi Mimura
3,981 views

Inside wsl

Introduce of the internal mechanism of Windows Subsystem for linux.

Embed presentation

Downloaded 11 times
Inside WSL
Who am I?  三村 聡志 a.k.a. 親方  Twitter : @mimura1133  Website : http://mimumimu.net/  最近アプリ診断してる  Windows + Visual Studio が いつものスタイル。
Inside WSL WSL でできること WSL の仕組み WSL 1 WSL 2 Hacking WSL
WSL でできること
WSL とは? Windows Subsystem for Linux の略 Windows 10 Fall Creators Update (1709) 以降で 利用可能
WSL で出来ること WSL1, WSL2 Linux のユーザモード環境の提供 64bit ELF のネイティブ実行 WSL2 Linux のカーネルモード環境 Linux カーネルを利用した高度な処理 iftop, mount などなど.
Linux の資産がつかえる!
WSL で出来ること 他にもこういうことができます: WSL 内からの Win32 プログラムの実行 WSL で稼働している Linux への ファイルアクセス WSL 内からの Windows への ファイルアクセス
WSL を使ってみる
WSL を使ってみる - 1 ストアからインストール
WSL を使ってみる – 2 インストールが終わったら あとは楽しむ。
WSL の仕組み – WSL1
WSL1 の仕組み Windows 10 の “Pico Process” という仕組みを利用して Windows 上で ELF を実行する Windows の1プロセスの扱いのため プロセスがタスクマネージャーから見える
Pico Process? From MSDN
Pico Process? Windows のプロセスには下記3タイプがある Minimal Process プロセスID は付与されるが PEB,TEB, NTDLL のリンク等は行われない NT Process 通常の Windows プロセス Pico Process Pico Provider と関連付いた Minimal Process.
WSL1 の仕組み
WSL1 の仕組み ELF ファイルを pico プロセスとして起動 Pico Provider は lxss.sys (%SYSTEMROOT%SYSTEM32DRIVERSLXSS.SYS) 起動されると Windows 側では LX Session Manager Service が起動する (%SYSTEMROOT%SYSTEM32LXSSLxssManager.dll) (%SYSTEMROOT%SYSTEM32LXSSwslhost.exe) (%SYSTEMROOT%SYSTEM32wsl.exe) 表示側は conhost.exe (コマンドプロンプト等と同じ)
WSL1 の仕組み ELF ファイルを pico プロセスとして起動 Pico Provider は lxss.sys (%SYSTEMROOT%SYSTEM32DRIVERSLXSS.SYS) Pico Provider が適宜システムコールを理解し Windows Kernel に指示を出す 実行権限は wsl.exe と同じ.
WSL1 の仕組み なおファイルについては すべてそのまま保存されている
WSL の仕組み – WSL2
WSL2 の仕組み From channel 9.
WSL2 の仕組み カスタマイズされた Linux Kernel を利用する ELF ファイルはその上で実行する Kernel Image: 通常は %SYSTEMROOT%System32lxsstools 以下のものを利用
余談ですが Windows 10 では Windows Hypervisor Platform が提供 Hyper-V の仕組みを利用して VM を実行できる API 群 管理者権限は不要 C#, C++ 向けの API 実装は存在する https://github.com/mimura1133/WHVPSharp
WSL2 を利用するために 現時点で WSL2 用の ディストリビューションは出ていない 既存のものを変換して作る wsl --set-version ubuntu 2
WSL2 の仕組み
WSL2 の仕組み 起動時に Linux VM (Optimized) を起動 Lightweight VM が立ち上がる WSL1 同様、起動されると Windows 側では LX Session Manager Service が起動する (%SYSTEMROOT%SYSTEM32LXSSLxssManager.dll) (%SYSTEMROOT%SYSTEM32LXSSwslhost.exe) (%SYSTEMROOT%SYSTEM32wsl.exe)
WSL2 の仕組み WSL を起動すると 下記のように “WSL” という名前の Docker が起動する WSL を閉じても走り続ける wsl --terminate で止められる.
WSL2 の仕組み ファイルは VHDX の下に保存される Hyper-V の仮想ディスクイメージ (ext4) Win – Linux は 9p Protocol. (Plan9)
Hacking WSL – WSL を使いやすくしよう
コマンドを使いやすくする 利用したい Linux コマンドと同じ名前の バッチファイルを作成する 下記の内容を書く: @bash -c "%~n0 %*"
コマンドを使いやすくする
コマンドを使いやすくする あとは PATH を通す Windows と Linux のコラボができる
ユーザディレクトリを合わせる Linux の userdir を Windows の %userprofile% に リンクさせる /mnt/c/Users 以下に通常存在する “ln –s” でリンクを張れば OK.
Hacking WSL – WSL の深い挙動の違いを見る
挙動の違いを見る WSL1 と WSL2 は VM か Pico Process かの違いがある それに合わせていくつかの挙動が異なる
プロセスの見え方 WSL1 Pico Process のため 1つ1つがタスクマネージャから見える WSL2 VM のため vmmem, vmwp.exe が 起動する
Processes (WSL1) Windows 上からプロセスが見える WSL が起動すると wslhost.exe がドライバと通信し 結果を conhost.exe が描画する
Processes (WSL2) Windows 上からはこれしか見えない ただし hcsdiag からは下記のように見える
mount の挙動の違い WSL1 root は wslfs (実体は NTFS 上にある) マウントできない WSL2 root は ext4 (実体は VHDX 上にある) マウントできる
mount (WSL1)
mount (WSL2)
Tcpdump の挙動の違い WSL1 Pico Provider (lxss.sys) に ローパケット処理が実装されていない WSL2 動作する 同じ理由で iptables, nmap 等も動作する
tcpdump (WSL1)
tcpdump (WSL2)
ip addr の挙動の違い WSL 1 Windows とアドレス・ポートを共有 WSL 2 Windows 側で NAPT される
ip addr (WSL1) Windows とおなじアドレスが 付与されていることが分かる
ip addr (WSL2) NAPT されている
GDB の挙動の違い WSL1 Pico Process で Emulation しているため アドレスが Linux らしいものとは異なる WSL2 Linux 上のためアドレスがキッチリ
gdb (WSL1)
gdb (WSL2)
WSL まとめ
WSL まとめ Windows Subsystem for Linux は Windows 上で Linux の資産を活かす技術 WSL1 は 直接 Windows で実行 WSL2 は Docker 上で実行 再現度は WSL2 が高く、気軽さは WSL1 が高い
余談集
フォレンジックしたい WSL1 NTFS 上にファイルが書かれる 基本的にはWindows のフォレンジックでよい WSL2 vhdx ファイルを読む こういうツールを使って raw にすればあとは楽 http://euee.web.fc2.com/tool/nhc.html
フォレンジックしたい プロセスのログとしては下記の起動ログを追う wslhost.exe
検知システムを書きたい! (WSL1)  PsSetCreateProcessNotifyRoutineEx2  PsSetCreateThreadNotifyRoutineEx この関数を使ってフックを掛ける typedef enum _SUBSYSTEM_INFORMATION_TYPE { SubsystemInformationTypeWin32, SubsystemInformationTypeWSL, MaxSubsystemInformationType }

More Related Content

PDF
HTTP/2 入門
byYahoo!デベロッパーネットワーク
 
PPTX
Inside wsl
bySatoshi Mimura
 
PDF
10分で分かるLinuxブロックレイヤ
byTakashi Hoshino
 
PDF
eStargzイメージとlazy pullingによる高速なコンテナ起動
byKohei Tokunaga
 
PDF
「Neutronになって理解するOpenStack Network」~Neutron/Open vSwitchなどNeutronと周辺技術の解説~ - ...
byVirtualTech Japan Inc.
 
PDF
Windowsコンテナ入門
byKyohei Mizumoto
 
PDF
YugabyteDBを使ってみよう(NewSQL/分散SQLデータベースよろず勉強会 #1 発表資料)
byNTT DATA Technology & Innovation
 
PDF
Linux女子部 systemd徹底入門
byEtsuji Nakai
 
HTTP/2 入門
byYahoo!デベロッパーネットワーク
 
Inside wsl
bySatoshi Mimura
 
10分で分かるLinuxブロックレイヤ
byTakashi Hoshino
 
eStargzイメージとlazy pullingによる高速なコンテナ起動
byKohei Tokunaga
 
「Neutronになって理解するOpenStack Network」~Neutron/Open vSwitchなどNeutronと周辺技術の解説~ - ...
byVirtualTech Japan Inc.
 
Windowsコンテナ入門
byKyohei Mizumoto
 
YugabyteDBを使ってみよう(NewSQL/分散SQLデータベースよろず勉強会 #1 発表資料)
byNTT DATA Technology & Innovation
 
Linux女子部 systemd徹底入門
byEtsuji Nakai
 

What's hot

PDF
http2 最速実装 v2
byYoshihiro Iwanaga
 
PDF
YoctoでLTSディストリを作るには
bywata2ki
 
PDF
“見てわかる” ファイバーチャネルSAN基礎講座(第2弾)~FC SAN設計における勘所とは?~
byBrocade
 
PDF
LogbackからLog4j 2への移行によるアプリケーションのスループット改善 ( JJUG CCC 2021 Fall )
byHironobu Isoda
 
PPTX
押さえておきたい、PostgreSQL 13 の新機能!!(Open Source Conference 2021 Online/Hokkaido 発表資料)
byNTT DATA Technology & Innovation
 
PDF
twMVC#44 讓我們用 k6 來進行壓測吧
bytwMVC
 
PDF
Kubernetesのワーカーノードを自動修復するために必要だったこと
byh-otter
 
PPTX
Apache Spark on Kubernetes入門(Open Source Conference 2021 Online Hiroshima 発表資料)
byNTT DATA Technology & Innovation
 
PDF
Docker道場オンライン#1 Docker基礎概念と用語の理解
byMasahito Zembutsu
 
PPTX
GraalVMのJavaネイティブビルド機能でどの程度起動が速くなるのか?~サーバレス基盤上での評価~ / How fast does GraalVM's...
byShinji Takao
 
PDF
GPU仮想化最前線 - KVMGTとvirtio-gpu -
byzgock
 
PDF
Podman rootless containers
byGiuseppe Scrivano
 
PDF
Webinar: 99 Ways to Enrich Streaming Data with Apache Flink - Konstantin Knauf
byVerverica
 
PDF
PFNのML/DL基盤を支えるKubernetesにおける自動化 / DevOpsDays Tokyo 2021
byPreferred Networks
 
PDF
超実践 Cloud Spanner 設計講座
bySamir Hammoudi
 
PDF
Google Cloud Dataflow を理解する - #bq_sushi
byGoogle Cloud Platform - Japan
 
PDF
OpenStack超入門シリーズ いまさら聞けないNeutronの使い方
byToru Makabe
 
PPTX
VXLAN Integration with CloudStack Advanced Zone
byYoshikazu Nojima
 
PPTX
Kubernetes環境に対する性能試験(Kubernetes Novice Tokyo #2 発表資料)
byNTT DATA Technology & Innovation
 
PDF
TiDBのトランザクション
byAkio Mitobe
 
http2 最速実装 v2
byYoshihiro Iwanaga
 
YoctoでLTSディストリを作るには
bywata2ki
 
“見てわかる” ファイバーチャネルSAN基礎講座(第2弾)~FC SAN設計における勘所とは?~
byBrocade
 
LogbackからLog4j 2への移行によるアプリケーションのスループット改善 ( JJUG CCC 2021 Fall )
byHironobu Isoda
 
押さえておきたい、PostgreSQL 13 の新機能!!(Open Source Conference 2021 Online/Hokkaido 発表資料)
byNTT DATA Technology & Innovation
 
twMVC#44 讓我們用 k6 來進行壓測吧
bytwMVC
 
Kubernetesのワーカーノードを自動修復するために必要だったこと
byh-otter
 
Apache Spark on Kubernetes入門(Open Source Conference 2021 Online Hiroshima 発表資料)
byNTT DATA Technology & Innovation
 
Docker道場オンライン#1 Docker基礎概念と用語の理解
byMasahito Zembutsu
 
GraalVMのJavaネイティブビルド機能でどの程度起動が速くなるのか?~サーバレス基盤上での評価~ / How fast does GraalVM's...
byShinji Takao
 
GPU仮想化最前線 - KVMGTとvirtio-gpu -
byzgock
 
Podman rootless containers
byGiuseppe Scrivano
 
Webinar: 99 Ways to Enrich Streaming Data with Apache Flink - Konstantin Knauf
byVerverica
 
PFNのML/DL基盤を支えるKubernetesにおける自動化 / DevOpsDays Tokyo 2021
byPreferred Networks
 
超実践 Cloud Spanner 設計講座
bySamir Hammoudi
 
Google Cloud Dataflow を理解する - #bq_sushi
byGoogle Cloud Platform - Japan
 
OpenStack超入門シリーズ いまさら聞けないNeutronの使い方
byToru Makabe
 
VXLAN Integration with CloudStack Advanced Zone
byYoshikazu Nojima
 
Kubernetes環境に対する性能試験(Kubernetes Novice Tokyo #2 発表資料)
byNTT DATA Technology & Innovation
 
TiDBのトランザクション
byAkio Mitobe
 

Similar to Inside wsl

PDF
Windows Subsystem for Linux 2
byTomokazu Kizawa
 
PPTX
こわくない!WSL
byMiho Yamamoto
 
PPTX
今だから知りたい Bash on Windows
byMiho Yamamoto
 
PPTX
Tips and tricks for WSL users: Two easy and reliable ways to get started with...
byAtomu Hidaka
 
PDF
WSL2使ってみた / Preview for WSL2
by株式会社MonotaRO Tech Team
 
PDF
Windows subsystem for linuxで始める組み込みlinux ラズパイ3のブートイメージを作ってみる-
byToyohiko Komatsu
 
PPTX
Windows Subsystem for Linux について
byMiho Yamamoto
 
Windows Subsystem for Linux 2
byTomokazu Kizawa
 
こわくない!WSL
byMiho Yamamoto
 
今だから知りたい Bash on Windows
byMiho Yamamoto
 
Tips and tricks for WSL users: Two easy and reliable ways to get started with...
byAtomu Hidaka
 
WSL2使ってみた / Preview for WSL2
by株式会社MonotaRO Tech Team
 
Windows subsystem for linuxで始める組み込みlinux ラズパイ3のブートイメージを作ってみる-
byToyohiko Komatsu
 
Windows Subsystem for Linux について
byMiho Yamamoto
 

More from Satoshi Mimura

PDF
おうちで簡単ハードウェアセキュリティ
bySatoshi Mimura
 
PPTX
某Ctf にて writeup
bySatoshi Mimura
 
PDF
Edomae 2015 - マルウェアを解析してみよう
bySatoshi Mimura
 
PPTX
Visual Studio で TeX 編集
bySatoshi Mimura
 
PDF
3本指ジェスチャでの 仮想デスクトップ機能を Windows に実装した話
bySatoshi Mimura
 
PPTX
WHAT_A_KERNEL_IRQL
bySatoshi Mimura
 
PPTX
アプリ作者と Windows XP
bySatoshi Mimura
 
PPTX
APASEC 2013 - ROP/JIT を使わずに DEP/ASLR を回避する手法を見てみた。
bySatoshi Mimura
 
PPTX
マシン語によるコード実行
bySatoshi Mimura
 
PPTX
Iron python と c sharp
bySatoshi Mimura
 
PPTX
Unix と windows 世界の融合
bySatoshi Mimura
 
PPTX
Windows Phone 7 と XNA の世界
bySatoshi Mimura
 
おうちで簡単ハードウェアセキュリティ
bySatoshi Mimura
 
某Ctf にて writeup
bySatoshi Mimura
 
Edomae 2015 - マルウェアを解析してみよう
bySatoshi Mimura
 
Visual Studio で TeX 編集
bySatoshi Mimura
 
3本指ジェスチャでの 仮想デスクトップ機能を Windows に実装した話
bySatoshi Mimura
 
WHAT_A_KERNEL_IRQL
bySatoshi Mimura
 
アプリ作者と Windows XP
bySatoshi Mimura
 
APASEC 2013 - ROP/JIT を使わずに DEP/ASLR を回避する手法を見てみた。
bySatoshi Mimura
 
マシン語によるコード実行
bySatoshi Mimura
 
Iron python と c sharp
bySatoshi Mimura
 
Unix と windows 世界の融合
bySatoshi Mimura
 
Windows Phone 7 と XNA の世界
bySatoshi Mimura
 

Inside wsl