|
dr_Bora ::3x0 ::Zasto testirati da li neki sigurnosni program moze da se odbrani protiv aplikacije koja ima kernel mode privilegije, logicno je da aplikacija koja ima kernel mode privilegije zaustavi drugu aplikaciju sa istim privilegijama.
Teoretski, driver može da radi bilo šta i jedino ograničenje je ono koje nameće znanje i domišljatost programera tako da se ne može reći da su dva drivera ravnopravna (pa time i testiranje ima smisla, a i rezultati pokazuju da su se neke aplikacije odupirale napadima iz kernel moda - znači, daleko od toga da se podrazumeva da driver odrađuje posao).
Znam to. Ako pogledas drugi deo mog posta, rekao sam da je moguce zastiti se protiv pojedinacnih metoda terminacije iz kernela.
Ali dokle se igrati macke i misa i bloat-ovati windows kernel sa hiljadama hookovanih APIja i time rizikovati destabilizaciju sistema, u vidu usporenja i problema sa kompatibilnoscu sa drugim programima zarad resavanja ovog "problema"?
Problem je sto je windows lose dizajniran out-of the box u sigurnosnom smislu. Cak i "problem" sa onesposobljavanjem iz safe moda je krivica samog dizajna windowsa, AV kompanije jedino mogu da implementiraju restrikcije u vidu onemogucavanja nepoznatim programima pristup registry kljucu koji forsira reboot u safe mode.
Kao sto sam rekao, problem je u tome sto treba efikasno onemoguciti malicioznim aplikacijama pristup kernelu i problem je resen. Samo sto je nemoguce razlikovati nepoznati malware od nepoznatog legitimnog programa.
Mnogo je bitnije da se AV ne moze onesposobiti iz user mode-a, a koliko vidim AVovi imaju mnogo vecu uspesnost u tom slucaju. 
Edit; na primer, user mode termination: kernelmode.info/forum/viewtopic.php?f=15&t=1485
KAV je mrtav iz user mode-a.
|
