Microsoft поменяла защиту ядра
В Device Manager можно получить информацию о состоянии любого устройства и при необходимости изменить его. В Microsoft применили схожий принцип и для настроек безопасности. Windows Security Center — сервис, к которому могут подключаться сторонние приложения безопасности

Подготовка к выпуску Vista ознаменовалась скандалом: антивирусные компании McAfee и Symantec воспротивились защитным механизмам, которые Microsoft встроила в 64-разрядное ядро своей новой операционной системы. «Яблоком раздора» стала технология PatchGuard, которая защищает само ядро ОС от модификации. Казалось бы, разработчики средств защиты должны радоваться, когда проблемы программной платформы решает сам ее производитель, однако реальность оказалась многообразнее.

Дело в том, что модификация ядра, которой препятствует PatchGuard, по заявлениям специалистов по безопасности, требуется в том числе и для обеспечения «собственной безопасности» антивирусов.

«С появлением Patch Guard мы не можем эффективно защитить свой антивирус от выгрузки обычной командой kill», — прокомментировал ситуацию Алексей Калгин, менеджер по развитию продуктов «Лаборатории Касперского».

Следует однако отметить, что когда антивирусные компании говорят про модификацию ядра, то они вовсе не собираются изменять алгоритм планирования процессов или обработки ошибок. Модификация ядра нужна только для одного — для перехвата системных вызовов. Такой перехват, как правило, связан с изменением таблицы системных вызовов для предварительного анализа его параметров компонентами защиты.

Для перехвата системных вызовов используются недокументированные возможности ядра. Причем в результате модификаций ядра может возникнуть ситуация, когда падение программы-перехватчика приводит к краху всей системы. А тот факт, что даже такие уважаемые компании, как Symantec, вынуждены использовать «хакерские» методы для контроля за системными вызовами, говорит о том, что производитель ранее не предложил официального, то есть проверенного и надежного решения для такого метода защиты.

Чтобы у компаний, которые занимаются вопросами безопасности, после внедрения PatchGuard остались инструменты перехвата системных вызовов, Microsoft предложила новую технологию, которая позволяет приложениям фильтровать системные вызовы. Корпорация планирует выпустить наборы специальных API, которые позволят регистрировать функции для вызова их перед системным вызовом. Зарегистрированная таким способом функция будет вызываться каждый раз при обращении к соответствующему системному вызову.

Новая платформа обработки системных вызовов называется Windows Filtering Platform. Причем предлагаемые корпорацией фильтры устроены так, что при крахе функции-перехватчика, сам системный вызов заблокирован не будет. Правда, пока, судя по заявлениям представителей компании, фильтры разработаны не для всех системных вызовов, а только для сетевой активности и файловой системы. Тем не менее корпорация, совместно с производителями антивирусного программного обеспечения, планирует разработать все необходимые для защиты фильтры.

Поделитесь материалом с коллегами и друзьями