PatchGuard

Тема в разделе "WASM.HEAP", создана пользователем cddee3, 10 дек 2020.

  1. HoShiMin

    HoShiMin Well-Known Member

    Публикаций:
    5
    Регистрация:
    17 дек 2016
    Сообщения:
    1.422
    Адрес:
    Россия, Нижний Новгород
    Во-первых, почему хлама? Полезный компонент.
    А во-вторых, выключателя не существует.
    Это просто данность - PG никакими настройками не отключается (отладчик в расчёт не берём).

    Я не понимаю, с чем ты споришь.
    Есть два компонента с разными названиями, разными принципами работы и разными задачами.
    По компонентам DeviceGuard/HVCI много статей (на msdn в том числе), по PatchGuard и его исследованию - тоже.
    Ну никак они между собой не связаны - что я сделаю?
    Можешь называть их хоть как, смешивать между собой - это будет просто ошибкой в терминологии и запутает собеседника. И какой смысл?
    От того, что назовёшь HVCI PatchGuard'ом, он им не станет.
    Спорим о какой-то ерунде - что как называется!
     
  2. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.077
    и зачем он нужен конечному юзверу? нагружать лишний раз проц и тормозить работу всех видов памяти в компе? :)
    то есть ты хочешь сказать, что в случае сбоя этой крени, у корпи клиентов нет возможности её отключить?
    Задача 1 == закрыть левые записи/чтение в озу, пзу и их кэшах == дг.
    №2 == поверять целостность ядра и части дров == пг
    ============
    пг по своей сути анти-дебагер. в свою чреду, анти-отладка является абсолютно шЫзной задачей, пч дампы/отчёты нужны самим же разрабам ядра + в ядре имеются жёсткие ограничения по размеру стека и допустимым лагам, да именно для этого нужен дг, чтобы заместо шизных костылей анти-отладки отрубать левый доступ к памяти.
     
  3. HoShiMin

    HoShiMin Well-Known Member

    Публикаций:
    5
    Регистрация:
    17 дек 2016
    Сообщения:
    1.422
    Адрес:
    Россия, Нижний Новгород
    С введением PG исчезли драйвера, перехватывающие что-то в ядре и являющиеся главным источником синих экранов.
    Целостность ядра - залог стабильности системы. Это несомненный плюс.

    Это просто данность, независимо от того, хочу я это сказать или нет.
    За всё время его существования не было ни одного случая ложных срабатываний.
    Если он нашёл расхождения - кто-то нарушил целостность системы и виновника надо искать в другом месте.
    А виновником может быть или кривой драйвер, или даже баг в самом ядре, который неожиданно меняет что-то, что менять нельзя.

    Именно поэтому при подключении ядерного отладчика он полностью отключается...
     
    Aiks нравится это.
  4. sn0w

    sn0w Active Member

    Публикаций:
    0
    Регистрация:
    27 фев 2010
    Сообщения:
    956
    HoShiMin, вы говорите, словно радуетесь тому что вам отсыпают гречки и макаронов, закрывая при этом возможность посмотреть на контент
     
    UbIvItS нравится это.
  5. HoShiMin

    HoShiMin Well-Known Member

    Публикаций:
    5
    Регистрация:
    17 дек 2016
    Сообщения:
    1.422
    Адрес:
    Россия, Нижний Новгород
    На какой контент?
     
    Indy_ нравится это.
  6. sn0w

    sn0w Active Member

    Публикаций:
    0
    Регистрация:
    27 фев 2010
    Сообщения:
    956
    я вам вот что скажу, без всяких доводов. я понимаю что вы клоните в сторону вайт-хет. но зачем? неужели вы не понимаете что в информационном пространстве не должны быть те кто к этому не предназначен?
     
  7. HoShiMin

    HoShiMin Well-Known Member

    Публикаций:
    5
    Регистрация:
    17 дек 2016
    Сообщения:
    1.422
    Адрес:
    Россия, Нижний Новгород
    Что именно зачем?

    А если то же самое перефразировать более понятно?
     
  8. sn0w

    sn0w Active Member

    Публикаций:
    0
    Регистрация:
    27 фев 2010
    Сообщения:
    956
    вы теряетесь в непонятках чтоли? вы же свои коды выкладываете на гите - уж вам то не понимать.
     
  9. HoShiMin

    HoShiMin Well-Known Member

    Публикаций:
    5
    Регистрация:
    17 дек 2016
    Сообщения:
    1.422
    Адрес:
    Россия, Нижний Новгород
    Да объясни же нормально, про что ты говоришь!
     
  10. sn0w

    sn0w Active Member

    Публикаций:
    0
    Регистрация:
    27 фев 2010
    Сообщения:
    956
    да в соседней теме же написал, про punkbuster
     
  11. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.077
    HoShiMin, перевожу на обще-русский: пг/дг делается для хомячков и нарушает возможность расширения функций оси чрез модули сторонних разрабов. :)
    а кто мешает не ставить лажовые дрова/проги???
    это у тебя не было иль вообще по миру? :grin:
    :laugh1::laugh2::laugh3::rofl::good::good2: действительно очень неожиданная ситуация, когда крякми запиндюрили в ядро:blush2:
    а когда ядро падает, он не отключается:laugh1:
     
  12. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    UbIvItS,

    PG защита весьма примитивная, тупо выборка к системным объектам из криптованного кода. Вот бы сделали защиту от атак по типу обратных(OP), но такое врядле возможно на этой архитектуре.
     
  13. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.077
    это про ROP? от ропов вполне можно избавляться, если адрес возврата из функи дублировать.
     
  14. HoShiMin

    HoShiMin Well-Known Member

    Публикаций:
    5
    Регистрация:
    17 дек 2016
    Сообщения:
    1.422
    Адрес:
    Россия, Нижний Новгород
    Для расширения функций есть штатные механизмы, спроектированные с учётом возможности их использования множеством драйверов.
    Когда ты пишешь перехваты в SSDT/IDT, ты никак не можешь контролировать сторонние компоненты, которые тоже могут что-то там перехватить.

    Ты объясни это пользователям, которые во всех сбоях будут винить MS.

    Доказать отсутствие чего-либо (в том числе, ложных срабатываний PG) невозможно. Если у тебя есть доказательство обратного - в студию.
    До тех пор ложных срабатываний PG нет и никогда не было ни на одной системе в мире.

    Какой ещё крякми?

    CFG + CET
     
  15. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.077
    крякми -- это синоним анти-дебаг техник, с негативной коннотацией :)
    а что тут доказывать? погоняй выньку 10 в экстремальной нагрузке с выкл/вкл пг/дг и посчитай статистику падучей для обоих случаев :grin:
    что-то не припомню, чтоб мокрые особо извинялись перед юзверами, и тем паче извинялись деньгами. пг/дг пилится вовсе не для пользы юзверей, а ради надёжной телеметрии для нужд мокрых.
    а если их не хватает??? если требуется откл теневые процессы ядра??? :)
     
  16. HoShiMin

    HoShiMin Well-Known Member

    Публикаций:
    5
    Регистрация:
    17 дек 2016
    Сообщения:
    1.422
    Адрес:
    Россия, Нижний Новгород
    Как я говорил выше, PG не отключается и работает всегда.
    А это значит, что, какие бы кнопочки в настройках ты ни тыкал, он продолжит полноценно работать.
    И как, много видел синих экранов с кодом CRITICAL_STRUCTURE_CORRUPTION?
    --- Сообщение объединено, 27 дек 2020 ---
    При том, что телеметрия успешно отключается целиком из юзермода, а PG и DG живут в ядре.

    А если надо его отключить - берём ByePg и отключаем.
     
  17. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.546
    Адрес:
    Russia
    рука лицо.
     
  18. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    > крякми -- это синоним анти-дебаг техник

    Кл зачитался, его нет больше.

    На счёт OP не прав, я много лет искал решение. Посмотри темы HoShiMin, он тоже ошибся.
     
  19. Entropy

    Entropy Member

    Публикаций:
    0
    Регистрация:
    23 авг 2020
    Сообщения:
    174
    пач гвард качественно присовывает палки в колёса не давая в ядре сильно веселится
     
  20. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.077
    Ты сам же и ответил на свой вопрос :) с аких пор крякми вдруг славится устойчивостью? :grin: а вот в продолжение темы весьма забавный FU¢T...
    очень весЁлый ответ от мокрых, если не сказать больше :)