A kernel-módosítás elleni védelem nem újkeletű, először a Windows XP és a Windows Server 2003
64 bites változataiban találkozhattunk vele az AMD64 és Intel EMT64T processzorok
bevezetésének ideje körül. A 64 bites Windows Vista-ban azonban megkerülhetetlen lett a
technológia, amint a Windows jogosulatlan kernel-módosítást érzékel automatikusan leállítja a
rendszert.
Az antivírus cégek szemében ez persze érthető módon szálkát jelent, hiszen a továbbiakban nem
alkalmazhatják a régi jól bevált módszert, a kernel módosítását. A Microsofthoz még olyan abszurd
kérés is érkezett ezektől a vállalatoktól, hogy a védelem fenntartásával együtt tegyék lehetővé az
ismert patnercégek számára, hogy csak ők módosíthassák a kernelt. Ez nyilvánvalóan
kivitelezhetetlen, hiszen hogyan különböztetné meg a Windows a valóban jóindulatú és a csak
jóindulatúnak tűnő programokat, valamint mi akadályozná meg a víruskészítőket abban, hogy egy
ismert antivírus termék digitális aláírását felhasználva bejussanak a kernelbe?
2018. szeptember 19., szerda
2018. szeptember 8., szombat
A Windows Vista biztonsági szolgáltatásai - PatchGuard 2. rész
Mi a kernel-patchelés? A kernel külső eszközök igénybevételével történő, nem támogatott módosíta,
mellyel szükségszerűen megbomlik a mag integritása, ami kihatással lehet a rendszer
teljesítményére, stabilitására, de akár biztonságára is. A különböző védelmi programok (antivírusok,
anti-spyware alkalmazások) gyártói a múltban gyakran alkalmazták ezt az eljárást, hogy elejét
vegyék egy-egy fertőzésnek azáltal, hogy közvetlenül kernelszinten akadályozták meg egyes
ártalmas programoknak, hogy bizonyos rendszerfüggvényeket hívjanak meg. De nem csak az
antivírus cégek alkalmazták a kernel-módosítást, hanem a különböző vírusokat készítő
programozók is, hiszen ilyen módon akár a fájlkezelők elől is elrejtőzni képes, úgynevezett rootkiteket
is bejuttathattak a rendszerbe, amik aztán szabadon garázdálkodhattak anélkül, hogy bármely
védelmi program tudomást szerzett volna a fertőzésről.
Feliratkozás:
Bejegyzések (Atom)