Отмечается, что для обеспечения работы решений проактивной защиты, контролирующих операции с файлами и реестром, есть два пути - использовать документированное API, либо модифицировать код и критичные структуры ядра. Популярным способом реализации подобной защиты стала модификация Service Dispatch Table (SDT), используемой операционной системой для передачи управления из пользовательского режима в режим ядра. Изменение номера службы в SDT позволяет перехватить системные вызовы и передать управление в свой код. Данный подход часто используется разработчиками, поскольку штатные средства налагают определенные ограничения - например, на количество контролируемых операций.

Однако недавнее обновление 64-битных версий Windows добавило регулярную проверку контрольных сумм таких критических структур как SDT, что привело к невозможности использования описанной техники - любое независимое исправление SDT теперь приводит к синему экрану. Это действительно несколько осложнит жизнь создателям руткитов, на борьбу с которыми kernel patch protection и направлено, хотя немедленно получить синий экран, подхватив руткит - то еще удовольствие для пользователя. Однако, эксперты Agnitum отмечают, что на практике никто не мешает авторам руткитов заняться более глубокой правкой сиcтемного кода, чтобы вернуть себе старые возможности.

В то же время производители легального софта оказываются перед дилеммой - или переходить на использование связывающего их по рукам и ногам штатного API, или прибегать к "грязным" технологиям. Фактически это выглядит попыткой привязать пользователей исключительно к системным средствам защиты, что не может не сказаться на общем уровне защищенности.

Источник: Agnitum

теги: windows  |  предложить новость  |  обсудить  |  все отзывы (0)

[10173]

назад «  » вперед

аналогичные материалы Конец поддержки Internet Explorer // 15.06.22 00:00 Просроченный сертификат ломает Windows 11 // 04.11.21 20:39 Microsoft начинает тестирование Linux GUI-приложений под Windows // 21.04.21 21:21 Microsoft закрыла серьёзную уязвимость, открытую АНБ // 15.01.20 00:52 Прощаемся с Windows 7 // 14.01.20 22:22 Типовые уязвимости в драйверах уровня ядра ряда производителей // 11.08.19 03:16 Microsoft готовит к выпуску Windows Terminal // 06.05.19 19:02

последние новостиBugTraq.Ru: последние новости Ядро Linux избавляется от российских мейнтейнеров // 23.10.24 23:10 20 лет Ubuntu // 20.10.24 19:11 Tailscale окончательно забанила российские адреса // 02.10.24 18:54 Прекращение работы антивируса Касперского в США // 30.09.24 17:30 Microsoft Authenticator теряет пользовательские аккаунты // 05.08.24 22:21 Облачнолазурное // 31.07.24 17:34 TeamViewer обвинил в своем взломе русских хакеров // 29.06.24 15:31