【问题标题】:MiniFilter Driver - The right implementation and the Microsoft signatureMiniFilter 驱动程序 - 正确的实现和 Microsoft 签名
【发布时间】:2020-10-17 21:16:50
【问题描述】:

我正在从事恶意软件分析。我使用微型过滤器驱动程序来拦截文件系统访问。然后我应用算法来检测恶意活动。 我的问题: 它知道驱动程序需要 Microsoft 签名才能公开发布。 https://docs.microsoft.com/fr-fr/windows-hardware/drivers/dashboard/attestation-signing-a-kernel-driver-for-public-release

是否有权在内核空间中将算法实现为 AI,或者我必须在用户空间中实现它们?关于 Microsoft、正确的架构和安全性有什么建议?

【问题讨论】:

  • 您无权访问 Windows 内核空间,您可以侦听、执行操作,但它在用户空间中(通常作为在后台运行的服务)。如果您使用具有算法 init 的驱动程序,那么您将不会收到公开版本,因为它会降低系统稳定性。

标签: windows kernel driver malware-detection minifilter


【解决方案1】:

如果您可以实现 Windows 内核驱动程序,那么您可以为所欲为。不仅是算法,我们还曾将 OpenSSL、SQLite 和其他开源项目(当然是 C 和 C++)移植到我们的 Windows 内核驱动程序中。这不是不可能完成的任务。只是您需要了解变通方法和限制。

MS 驱动程序签名的想法是避免流氓驱动程序开发人员在内核中运行恶意软件。长期以来,这是 32 位 Windows 的最大问题,因为在内核中,您不仅可以实现某些东西,而且还可以滥用任何东西,包括内核变量、文件系统数据、注册表,甚至可以挂钩到任何代码想要(如果系统保护未运行)。然而,这样的证书也并不完美。多年前,黑客窃取了公司的证书(如果我没记错的话,是 RealTek)并签署了他们的恶意软件驱动程序。

【讨论】:

    猜你喜欢
    • 2019-12-21
    • 2012-09-25
    • 1970-01-01
    • 2018-03-04
    • 2013-08-13
    • 2012-11-09
    • 1970-01-01
    • 2014-11-08
    • 2020-06-17
    相关资源
    最近更新 更多