Всем привет. Кто знает, где читать про эти апишки? Если не сложно, подкиньте линки. Есть мнение, что 64 битные оси _намного_ менее защищены по сравнению с 32 битными, потому что интеграция защитных программ в ядро практически невозможна. Что скажете?
Не совсем так, потому что 64-битные Windows препятствуют проникновению в ядро, а значит обнаружить malware там проще, т.к. она уже не может скрыть себя так, как это было возможно раньше.
Clerk Спасибо за линк. Интересная инфа. x64 Можно подробнее в плане обнаружения ядерной 64 битной малвари? В 32 битах было все просто - RkU или XueTr в руки - и все видно, а под 64 я что то нормальных антируткитов не видел пока.
x64 Понял, ладно, поставим вопрос чуть по другому: как обнаружить ядерный руткит средней руки в х64(инструменты, методы)?
Я тебя ещё раз спрашиваю: что именно ты собрался обнаруживать? Я тебе объяснить пытаюсь, что попасть и закрепиться в ядре на 64-битной системе - это не просто, и прежде всего руткитописателю придётся решить именно эту задачу. Вот с этого и надо начинать, а потом уже думать, как обнаруживать это. Я лично надёжных способов не знаю, все, что в паблике были, сейчас устарели. PG постоянно развивается и рано или поздно он придёт к такому виду, при котором руткит не сможет сделать вообще ничего. Именно поэтому я поднял вопрос о целесообразности обнаружения - что обнаруживать-то будем? Если руткит таки сумел обойти PG, то методы обнаружения будут практически все те же самые, что и для x86, но если нет, то - см. выше.
x64 Т е ты хочешь сказать, что PG - весьма неплохая идея? Просто PG обсирали все: хакеры - потому что он дырявый(Крис, например), Avеры и фаервольщики - потому что мешает встроиться в систему...
kl Имелось ввиду реализация в 32битах видимо. А вообще покурите маны, про то, как оно работает в 64 битной системе. А то ваше суждение основано тока на мнении хакеров, а не на собственном опыте и знаниях.
Я лично обеими руками "за". Вкупе с проверкой подписей драйверов и некоторыми другими механизмами это делает современные Windows весьма защищёнными системами. Ну конечно он дырявый, но рано или поздно всё это будет исправлено.
Имеет, если время затраченное на вскрытие защиты многократно превышает время затраченное на её написание.
Никакая защита не поможет при "правильной" прокладке между монитором и креслом (99% пользователей, как минимум). Чем сложнее защищаемая система, тем сложнее ее защищать и тем проще она ломается, хотя это проще далеко не на поверхности.
Clerk +1. И PG, и подписывание драйверов - это защита от ошибочного, а не злонамеренного кода. МС теперь огребает за то, что в погоне за простотой для юзера способствовала практике выполнять обычную работу под админом. Вот и городит всяческие надстройки для защиты админа от админа.
