Partilhar via

Segurança durante a depuração de Kernel-Mode

  • Artigo

A segurança durante a depuração em modo kernel nunca se trata de proteger o computador de destino . O alvo é completamente vulnerável ao depurador -- esta é a própria natureza da depuração.

Se uma conexão de depuração foi habilitada durante a inicialização, ela permanecerá vulnerável através da porta de depuração até sua próxima inicialização.

No entanto, você deve se preocupar com a segurança no computador host . Em uma situação ideal, o depurador é executado como uma aplicação no seu computador host, mas não interage com outras aplicações neste mesmo computador. Existem três formas possíveis pelas quais os problemas de segurança podem surgir:

  • Se você usar DLLs de extensão corrompidas ou destrutivas, elas poderão fazer com que o depurador execute ações inesperadas, possivelmente afetando o computador host.

  • É possível que arquivos de símbolos corrompidos ou destrutivos também possam fazer com que seu depurador execute ações inesperadas, possivelmente afetando o computador host.

  • Se estiveres a executar uma sessão de depuração remota, um cliente inesperado pode tentar ligar-se ao teu servidor. Ou talvez o cliente que você está esperando possa tentar executar ações que você não prevê.

  • Se você quiser impedir que um usuário remoto execute ações em seu computador host, use Modo de Segurança.

  • Uma abordagem para reduzir o risco é colocar o host e o alvo em uma rede privada isolada, em um hub de rede local.

  • Para obter sugestões sobre como se proteger contra conexões remotas inesperadas, consulte Segurança durante a depuração remota.

Se não estás a executar a depuração remota, ainda deverás ter cuidado com ficheiros de símbolos incorretos e DLLs de extensão. Não carregue símbolos ou extensões que desconfie.

Depuração do kernel local

Somente os usuários que têm privilégios de depuração podem iniciar uma sessão de depuração do kernel local. Se você é o administrador de uma máquina que tem várias contas de usuário, você deve estar ciente de que qualquer usuário com esses privilégios pode iniciar uma sessão de depuração do kernel local, dando-lhes efetivamente o controle de todos os processos no computador - e, portanto, dando-lhes acesso a todos os periféricos também.