Ранний запуск антивредоносного ПО

Платформ

клиенты — Windows 8
серверы — Windows Server 2012

Описание

По мере того как программное обеспечение защиты от вредоносных программ (AM) стало лучше и лучше при обнаружении вредоносных программ среды выполнения, злоумышленники также становятся лучше при создании коркитов, которые могут скрыться от обнаружения. Обнаружение вредоносных программ, которые начинаются в начале цикла загрузки, является проблемой, которую большинство поставщиков AM устраняют старательно. Как правило, они создают системные взлома, которые не поддерживаются операционной системой узла и могут на самом деле привести к размещению компьютера в нестабильном состоянии. До этого момента Windows не предоставляет хороший способ обнаружения и устранения этих ранних угроз загрузки.

В Windows 8 представлена новая функция с именем "Безопасная загрузка", которая защищает конфигурацию загрузки Windows и компоненты и загружает драйвер защиты от вредоносных программ раннего запуска (ELAM). Этот драйвер запускается перед другими драйверами начальной загрузки и включает оценку этих драйверов и помогает ядру Windows решить, следует ли инициализировать их.

Проявление

При первом запуске ядра ELAM гарантируется, что он запускается перед любым сторонним программным обеспечением и поэтому может обнаруживать вредоносные программы в процессе загрузки и предотвращать его инициализацию.

Смягчение

Драйверы загрузки инициализированы на основе классификации, возвращаемой драйвером ELAM в соответствии с политикой инициализации. По умолчанию политика инициализирует известные хорошие и неизвестные драйверы, но не инициализирует известные плохие драйверы. Системный администратор может указать пользовательскую политику с помощью групповой политики, которая может предотвратить инициализацию неизвестных драйверов или включить драйверы, критически важные для процесса загрузки, но были изменены, инициализированы.

Решение

Драйвер ELAM должен зарегистрировать обратные вызовы ядра, чтобы получить сведения о каждом драйвере начальной загрузки при инициализации. Затем драйвер ELAM может возвращать классификацию для каждого драйвера. Эти функции необходимы:

• IoRegisterBootDriverCallback
• IoUnRegisterBootDriverCallback

Драйвер ELAM также может зарегистрировать обратные вызовы реестра. Это позволяет драйверу ELAM проверять данные конфигурации, используемые каждым драйвером начальной загрузки. Драйвер ELAM может заблокировать или изменить данные перед тем, как он будет использоваться драйверами начальной загрузки при необходимости. Эти функции необходимы:

• CmRegisterCallbackEx
• CmUnRegisterCallback

Дополнительные сведения о требованиях драйвера ELAM и использовании API см. в раннего запуска антивредоносных программ.

Тесты

Драйверы ELAM должны быть специально подписаны корпорацией Майкрософт, чтобы убедиться, что они запущены ядром Windows в начале процесса загрузки. Чтобы получить подпись, драйверы ELAM должны пройти набор тестов сертификации, чтобы проверить производительность и другое поведение. Эти тесты включены в комплект сертификации оборудования Windows.

Ресурсы

• раннего запуска антивредоносных программ
• CmRegisterCallbackEx
• CmUnRegisterCallback
• IoRegisterBootDriverCallback
• IoUnRegisterBootDriverCallback
• Сертификация оборудования с презентацией пакета сертификации оборудования Windows
• скачать комплекты и средства