Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Inside wsl

Satoshi MIMURA
October 09, 2019
Technology
0
15

Inside wsl

Introduce of the internal mechanism of Windows Subsystem for linux.

Satoshi MIMURA

October 09, 2019
Tweet

More Decks by Satoshi MIMURA

See All by Satoshi MIMURA
Edomae 2015 - マルウェアを解析してみよう
mimura1133
0
41
Windows でも TeX 編集がしたい!
mimura1133
0
6
3本指ジェスチャの仮想デスクトップ機能を Windows に実装した話
mimura1133
0
9
Windows のカーネルモードドライバで填まった話
mimura1133
0
16
APASEC 2013 - ROP/JIT を使わずに DEP/ASLR を回避する手法を見てみた。
mimura1133
0
10
マシン語によるコード実行
mimura1133
0
6
Iron python と c sharp
mimura1133
0
9
Unix と windows 世界の融合
mimura1133
0
11
Windows Phone 7 と XNA の世界
mimura1133
0
10

Other Decks in Technology

See All in Technology
TDD - Test Driven Drupal
opdavies
0
3k
複雑なビジネスルールに挑む:正確性と効率性を両立するfp-tsのチーム活用術 / Strike a balance between correctness and efficiency with fp-ts
kakehashi
5
3.5k
YJIT Makes Rails 1.7x faster / RubyKaigi 2024
k0kubun
3
450
iThome2024 Wailing Wall of Enterprise Security
notsurprised
0
290
サイボウズ 開発本部採用ピッチ / Cybozu Engineer Recruit
cybozuinsideout
PRO
9
37k
社内での継続的な機械学習勉強会の開催のコツ
yudai00
2
390
Oracle Cloud Infrastructure データベース・クラウド:各バージョンのサポート期間
oracle4engineer
PRO
12
7.9k
【TSkaigi】2024/05/11 当日スライド
kimitashoichi
14
3.9k
株式会社EventHub・エンジニア採用資料
eventhub
0
2.1k
Blazor WASM × Code-first gRPC で始める C# ⼤統⼀理論
sansantech
PRO
1
410
QA経験のないエンジニアリング マネージャーがQAのカジュアル面談に出て 苦労していること・気づいたこと / scrum fest niigata 2024
yoshikiiida
2
660
Deno で作る快適な “as Code” プラットフォーム – TSKaigi 2024
pizzacat83
4
310

Featured

See All Featured
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
155
14k
Large-scale JavaScript Application Architecture
addyosmani
504
110k
Build your cross-platform service in a week with App Engine
jlugia
226
17k
Clear Off the Table
cherdarchuk
86
310k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
117
18k
KATA
mclloyd
16
12k
Mobile First: as difficult as doing things right
swwweet
217
8.6k
VelocityConf: Rendering Performance Case Studies
addyosmani
321
23k
Building Better People: How to give real-time feedback that sticks.
wjessup
356
18k
RailsConf 2023
tenderlove
9
580
The World Runs on Bad Software
bkeepers
PRO
61
6.7k
Art, The Web, and Tiny UX
lynnandtonic
290
19k

Transcript

  1. Inside WSL

  2. Who am I?  三村 聡志 a.k.a. 親方  Twitter

    : @mimura1133  Website : http://mimumimu.net/  最近アプリ診断してる  Windows + Visual Studio が いつものスタイル。

  3. Who am I? 三村 聡志 a.k.a. 親方 Twitter : @mimura1133

    Inside IT 主催 10月3日に仙台でも開催予定 IT初心者向けの勉強会

  4. Inside WSL WSL でできること WSL の仕組み WSL 1 WSL 2

    Hacking WSL

  5. WSL でできること

  6. WSL とは? Windows Subsystem for Linux の略 Windows 10 Fall

    Creators Update (1709) 以降で 利用可能

  7. WSL で出来ること WSL1, WSL2 Linux のユーザモード環境の提供 64bit ELF のネイティブ実行 WSL2

    Linux のカーネルモード環境 Linux カーネルを利用した高度な処理 iftop, mount などなど.

  8. Linux の資産がつかえる!

  9. WSL で出来ること 他にもこういうことができます: WSL 内からの Win32 プログラムの実行 WSL で稼働している Linux

    への ファイルアクセス WSL 内からの Windows への ファイルアクセス

  10. WSL を使ってみる

  11. WSL を使ってみる - 1 ストアからインストール

  12. WSL を使ってみる – 2 インストールが終わったら あとは楽しむ。

  13. WSL の仕組み – WSL1

  14. WSL1 の仕組み Windows 10 の “Pico Process” という仕組みを利用して Windows 上で

    ELF を実行する Windows の1プロセスの扱いのため プロセスがタスクマネージャーから見える

  15. Pico Process? From MSDN

  16. Pico Process? Windows のプロセスには下記3タイプがある Minimal Process プロセスID は付与されるが PEB,TEB, NTDLL

    のリンク等は行われない NT Process 通常の Windows プロセス Pico Process Pico Provider と関連付いた Minimal Process.

  17. WSL1 の仕組み

  18. WSL1 の仕組み ELF ファイルを pico プロセスとして起動 Pico Provider は lxss.sys

    (%SYSTEMROOT%¥SYSTEM32¥DRIVERS¥LXSS.SYS) 起動されると Windows 側では LX Session Manager Service が起動する (%SYSTEMROOT%¥SYSTEM32¥LXSS¥LxssManager.dll) (%SYSTEMROOT%¥SYSTEM32¥LXSS¥wslhost.exe) (%SYSTEMROOT%¥SYSTEM32¥wsl.exe) 表示側は conhost.exe (コマンドプロンプト等と同じ)

  19. WSL1 の仕組み ELF ファイルを pico プロセスとして起動 Pico Provider は lxss.sys

    (%SYSTEMROOT%¥SYSTEM32¥DRIVERS¥LXSS.SYS) Pico Provider が適宜システムコールを理解し Windows Kernel に指示を出す 実行権限は wsl.exe と同じ.

  20. WSL1 の仕組み なおファイルについては すべてそのまま保存されている

  21. WSL の仕組み – WSL2

  22. WSL2 の仕組み From channel 9.

  23. WSL2 の仕組み カスタマイズされた Linux Kernel を利用する ELF ファイルはその上で実行する Kernel Image:

    通常は %SYSTEMROOT%¥System32¥lxss¥tools 以下のものを利用

  24. 余談ですが Windows 10 では Windows Hypervisor Platform が提供 Hyper-V の仕組みを利用して

    VM を実行できる API 群 管理者権限は不要 C#, C++ 向けの API 実装は存在する https://github.com/mimura1133/WHVPSharp

  25. WSL2 を利用するために 現時点で WSL2 用の ディストリビューションは出ていない 既存のものを変換して作る wsl --set-version ubuntu

    2

  26. WSL2 の仕組み

  27. WSL2 の仕組み 起動時に Linux VM (Optimized) を起動 Lightweight VM が立ち上がる

    WSL1 同様、起動されると Windows 側では LX Session Manager Service が起動する (%SYSTEMROOT%¥SYSTEM32¥LXSS¥LxssManager.dll) (%SYSTEMROOT%¥SYSTEM32¥LXSS¥wslhost.exe) (%SYSTEMROOT%¥SYSTEM32¥wsl.exe)

  28. WSL2 の仕組み WSL を起動すると 下記のように “WSL” という名前の Docker が起動する WSL

    を閉じても走り続ける wsl --terminate で止められる.

  29. WSL2 の仕組み ファイルは VHDX の下に保存される Hyper-V の仮想ディスクイメージ (ext4) Win –

    Linux は 9p Protocol. (Plan9)

  30. Hacking WSL – WSL を使いやすくしよう

  31. コマンドを使いやすくする 利用したい Linux コマンドと同じ名前の バッチファイルを作成する 下記の内容を書く: @bash -c "%~n0 %*"

  32. コマンドを使いやすくする

  33. コマンドを使いやすくする あとは PATH を通す Windows と Linux のコラボができる

  34. ユーザディレクトリを合わせる Linux の userdir を Windows の %userprofile% に リンクさせる

    /mnt/c/Users 以下に通常存在する “ln –s” でリンクを張れば OK.

  35. Hacking WSL – WSL の深い挙動の違いを見る

  36. 挙動の違いを見る WSL1 と WSL2 は VM か Pico Process かの違いがある

    それに合わせていくつかの挙動が異なる

  37. プロセスの見え方 WSL1 Pico Process のため 1つ1つがタスクマネージャから見える WSL2 VM のため vmmem,

    vmwp.exe が 起動する

  38. Processes (WSL1) Windows 上からプロセスが見える WSL が起動すると wslhost.exe がドライバと通信し 結果を conhost.exe

    が描画する

  39. Processes (WSL2) Windows 上からはこれしか見えない ただし hcsdiag からは下記のように見える

  40. mount の挙動の違い WSL1 root は wslfs (実体は NTFS 上にある) マウントできない

    WSL2 root は ext4 (実体は VHDX 上にある) マウントできる

  41. mount (WSL1)

  42. mount (WSL2)

  43. Tcpdump の挙動の違い WSL1 Pico Provider (lxss.sys) に ローパケット処理が実装されていない WSL2 動作する

    同じ理由で iptables, nmap 等も動作する

  44. tcpdump (WSL1)

  45. tcpdump (WSL2)

  46. ip addr の挙動の違い WSL 1 Windows とアドレス・ポートを共有 WSL 2 Windows

    側で NAPT される

  47. ip addr (WSL1) Windows とおなじアドレスが 付与されていることが分かる

  48. ip addr (WSL2) NAPT されている

  49. GDB の挙動の違い WSL1 Pico Process で Emulation しているため アドレスが Linux

    らしいものとは異なる WSL2 Linux 上のためアドレスがキッチリ

  50. gdb (WSL1)

  51. gdb (WSL2)

  52. WSL まとめ

  53. WSL まとめ Windows Subsystem for Linux は Windows 上で Linux

    の資産を活かす技術 WSL1 は 直接 Windows で実行 WSL2 は Docker 上で実行 再現度は WSL2 が高く、気軽さは WSL1 が高い

  54. 余談集

  55. フォレンジックしたい WSL1 NTFS 上にファイルが書かれる 基本的にはWindows のフォレンジックでよい WSL2 vhdx ファイルを読む こういうツールを使って

    raw にすればあとは楽 http://euee.web.fc2.com/tool/nhc.html

  56. フォレンジックしたい プロセスのログとしては下記の起動ログを追う wslhost.exe

  57. 検知システムを書きたい! (WSL1)  PsSetCreateProcessNotifyRoutineEx2  PsSetCreateThreadNotifyRoutineEx この関数を使ってフックを掛ける typedef enum _SUBSYSTEM_INFORMATION_TYPE

    { SubsystemInformationTypeWin32, SubsystemInformationTypeWSL, MaxSubsystemInformationType }

  58. Inside WSL TWITTER : @MIMURA1133

  59. 宣伝 10月5日(土曜日)に Inside IT を仙台で開催します IT 初心者向けのかたに 分かりやすく IT の世界に

    触れて頂く内容です