【发布时间】:2020-10-17 21:16:50
【问题描述】:
我正在从事恶意软件分析。我使用微型过滤器驱动程序来拦截文件系统访问。然后我应用算法来检测恶意活动。 我的问题: 它知道驱动程序需要 Microsoft 签名才能公开发布。 https://docs.microsoft.com/fr-fr/windows-hardware/drivers/dashboard/attestation-signing-a-kernel-driver-for-public-release
是否有权在内核空间中将算法实现为 AI,或者我必须在用户空间中实现它们?关于 Microsoft、正确的架构和安全性有什么建议?
【问题讨论】:
-
您无权访问 Windows 内核空间,您可以侦听、执行操作,但它在用户空间中(通常作为在后台运行的服务)。如果您使用具有算法 init 的驱动程序,那么您将不会收到公开版本,因为它会降低系统稳定性。
标签: windows kernel driver malware-detection minifilter