-
Kernel Patch Protection: больше вреда, чем пользы?
На сайте Agnitum (производителя популярного персонального файрволла Outpost) опубликованы результаты анализа технологии Kernel Patch Protection, включенной недавно в 64-битные версии Windows.
Отмечается, что для обеспечения работы решений проактивной защиты, контролирующих операции с файлами и реестром, есть два пути - использовать документированное API, либо модифицировать код и критичные структуры ядра. Популярным способом реализации подобной защиты стала модификация Service Dispatch Table (SDT), используемой операционной системой для передачи управления из пользовательского режима в режим ядра. Изменение номера службы в SDT позволяет перехватить системные вызовы и передать управление в свой код. Данный подход часто используется разработчиками, поскольку штатные средства налагают определенные ограничения - например, на количество контролируемых операций.
Однако недавнее обновление 64-битных версий Windows добавило регулярную проверку контрольных сумм таких критических структур как SDT, что привело к невозможности использования описанной техники - любое независимое исправление SDT теперь приводит к синему экрану. Это действительно несколько осложнит жизнь создателям руткитов, на борьбу с которыми kernel patch protection и направлено, хотя немедленно получить синий экран, подхватив руткит - то еще удовольствие для пользователя. Однако, эксперты Agnitum отмечают, что на практике никто не мешает авторам руткитов заняться более глубокой правкой сиcтемного кода, чтобы вернуть себе старые возможности.
В то же время производители легального софта оказываются перед дилеммой - или переходить на использование связывающего их по рукам и ногам штатного API, или прибегать к "грязным" технологиям. Фактически это выглядит попыткой привязать пользователей исключительно к системным средствам защиты, что не может не сказаться на общем уровне защищенности.
Источник: Agnitum
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Всем привет!
Призываю поддержать моё начинание и бойкотировать Висту!
http://www.softsphere.com/articles/b...windows-vista/
-
Ответить с цитированием
