Qual è la differenza tra avvio affidabile e protezione patch del kernel (PatchGuard)

1

Ho capito che Trusted Boot e Kernel Patch Protection (o PatchGuard) sono modi in cui Windows utilizza per proteggersi dalle infezioni dei rootkit. Ma non riesco a trovare un confronto tra questi due metodi di protezione. Non sto cercando un confronto tecnico dettagliato, ma solo per un semplice confronto concettuale.

Presumo che Kernel Patch Protection protegga solo l'integrità del kernel e dei file di sistema, mentre Trusted boot fa la stessa cosa, ma Trusted boot fa anche parte di Secure boot che protegge anche il bootloader (un livello più alto). Ho sbagliato? Ci sono altre differenze importanti? Questo significa che Trusted Boot è in realtà una sostituzione di Kernel Path Protection o solo un nome diverso per esso?

Un altro punto di cui non sono sicuro è che Kernel Patch Protection è disponibile solo su sistemi Windows a 64 bit, ma che cosa è con avvio sicuro / affidabile ? È disponibile anche su sistemi Windows a 32 bit?

    
posta pineappleman 08.03.2016 - 14:26
fonte

2 risposte

1

Direi che la Kernel Patch Protection non è specificamente indirizzata a codice dannoso come rootkit ma piuttosto a driver legittimi ma mal progettati. Prima di tale protezione, alcuni driver del kernel speciali, come quelli utilizzati dai software antivirus, sovrascrivono regolarmente le strutture dei dati del kernel o persino il codice per agganciare (intercettare) le routine del kernel. Questo tipo di comportamento non è supportato e spesso porta a conflitti e BSD. (Questo è il motivo per cui alle persone viene detto di non installare più di un antivirus.) La Protezione patch del kernel non interrompe direttamente tali modifiche, ma invece fa arrestare il sistema quando tale modifica viene successivamente rilevata, costringendo i responsabili del software a utilizzare altre tecniche .

Il codice dannoso che ha acquisito il privilegio del kernel può facilmente funzionare senza mai attivare questa protezione. Inoltre, poiché il codice di protezione è passivo (non attivamente rifiutato di modificare) e ha solo lo stesso livello di accesso di un altro codice del kernel, può essere disabilitato da un determinato utente malintenzionato.

Secure Boot d'altra parte utilizza funzionalità hardware per impedire l'esecuzione di codice non autorizzato durante il processo di avvio. Se implementato correttamente, fornirà una protezione totale finché non verrà caricato un terreno utente (dove qualsiasi codice può essere eseguito con la benedizione di un utente amministratore). Il concetto potrebbe ricevere alcuni miglioramenti, ma è improbabile che possa essere sostituito con qualcosa di meglio.

Secure Boot è disponibile su Windows a 32 bit purché si installi la versione UEFI.

    
risposta data 08.03.2016 - 15:07
fonte
1

Domanda 1:

La protezione del percorso del kernel è incentrata sulla protezione del kernel, ciò significa che i driver di periferica non possono modificare nulla relativo al kernel. Se la protezione del percorso del kernel è abilitata, hai meno possibilità di ottenere qualsiasi BSoD o che i rootkit saranno nidificati nel kernel.

Trusted Boot è più focalizzato sul software che è considerato affidabile dal produttore. Quindi non verranno avviati altri programmi, come malware.

Entrambi sono 2 diversi tipi di metodi per proteggere il sistema.

Domanda 2:

L'avvio sicuro / affidabile si trova su tutti i sistemi disponibili.

Spero di aver risposto alla tua domanda.

    
risposta data 08.03.2016 - 14:50
fonte

Leggi altre domande sui tag