Отключение Mandatory Kernel Mode и Driver Signing в x64 Vista

Защита ядра 64-битной Windows Vista разделена на две части: PatchGuard и Mandatory Kernel Mode с Driver Signing. Kaspersky Lab специально выпустила Kernel Patch Protection, потому что он называет такую защиту скорее шуткой, чем серьезным барьером для атак на ядро системы. От внимания российского производителя антивирусов не ушли и другие технологии защиты.

Kaspersky Lab показала, что существует набор методов, которые предназначены для отключения проверки подписи. В x64 Windows Vista цифровая подпись для любого модуля или драйвера на уровне ядра обязательна. «Существует несколько официальных методов для отключения проверки подписи, среди которых есть методы, разработанные для упрощения процедуры разработки драйвера и процесса его тестирования. Это сделано потому что реально существует проблема разработки драйверов, которая заключается в том, что невозможно требовать цифровую подпись для каждого тестируемого драйвера. Потому и появились методы отключения проверки подписи» - заявила Алиса Шевченко, аналитик по вирусам Лаборатории Касперского.

Таким образом, подключаясь через системный отладчик, вы переходите в режим работы без контроля над драйверами и управления и поддержки цифровых подписей, т.е. абсолютно легально отключаете Mandatory Kernel Mode и Driver Signing. Kaspersky сообщает, что методы отключения Mandatory Kernel Mode и Driver Signing не ограничены только этими приемами.

«Мы ожидаем, что появится еще множество методов, предназначенных для обхода защиты режима ядра и загрузки компонентов, не имеющих подписей. Наш приговор остается тем же: да, эта функция защищает операционную систему от злонамеренного кода, но не настолько эффективно, насколько этого хотелось бы разработчикам» - говорит Шевченко.


Источник: http://www.softpedia.com
Перевод: Dazila