[情報] Windows 10加入防止核心資料毁損的工具

Windows 10加入防止核心資料毁損的工具 文/林妍溱 | 2020-07-10發表 微軟昨（9）日宣布為Windows 10新增安全工具Kernel Data Protection（KDP），防止惡 意程式毁損Windows核心資料。 隨著作業系統加入程式碼完整性（Code Integrity，CI）、控制流程防護（Control Process Guard，CPG）來防止記憶體毁損，讓攻擊者開始將目標轉向攻擊核心資料。愈來 愈多惡意程式作者使用資料毁損手法來破壞系統安全政策、權限升級、竄改安全憑證，或 修改「一次初始化」的資料結構。 為此微軟釋出了核心資料防護（Kernel Data Protection，KDP），旨在透過虛擬化安全 來保護部份Windows核心和驅動程式。KDP是一組API，可將部份核心記憶體標示為唯讀以 防止惡意程式修改。例如攻擊者利用簽章過但有漏洞的驅動程式來攻擊政策資料結構，藉 此安裝未簽章的惡意驅動程式，KDP即可防止資料結構被修改。 將Windows核心記憶體標示為唯讀，可以衍生出許多實作，像是電玩的反作弊方案，或數 位版權管理（DRM）。除了安全性之外，還有其他好處。首先它可以減輕驗證元件的作業 負擔，不需再定期驗證資料變數，因而可提升效能。KDP還利於診斷記憶體毁損的bug，提 升系統穩定性。最後，它還能提升驅動程式的相容性。 不過不是所有Windows 10用戶現在都能享有KDP，因為它使用了Secured-core PC內建的隔 離和基本信任技術。在Windows 10上KDP又可實作成靜態和動態。靜態KDP可形成以核心模 型執行的軟體，保護它的映像檔不被竄改，動態KDP則協助核心模式的軟體從「安全記憶 體池」中分配並釋出唯讀記憶體。這兩種KDP實作都仰賴Windows 10 hypervisor的第二層 位址轉譯（Second Level Address Translation，SLAT）功能，兩種KDP實作已經加入到 最新的Windows 10 Insider Build中，可用來保護executable pages以外的記憶體。 微軟也提供KDP實作到CI、程式碼完整性引擎，以及Defender System Guard runtime 驗 證引擎的範例，也鼓勵驅動程式開發商加入KDP實作。 這是微軟為Windows 10加入的最新安全技術。今年5月微軟為Windows 10 May 2020 Update加入偵測及防堵垃圾程式的新功能。去年秋天該公司則推出Tamper Protection， 可防止惡意程式關閉防毒軟體Windows Defender Antivirus。 https://www.ithome.com.tw/news/138755 所以跟macOS 10.15一樣獨立出一個唯讀的Macintosh HD邏輯卷宗，防止系統核心檔案被竄 改的概念類似? 這是macOS運作的概念 https://www.bnext.com.tw/article/55276/mac-catalina-hdd -- 推 roy1123:聽說把住址打出來會變米字號呢 我住***************** 02/18 13:54 → hopeofplenty:測試一下 ********************** 02/18 14:17 → tddrean:*****************真的耶 02/18 14:25 → Kovan:***********怎麼打不出地址! 02/18 14:28 → jimmy00102:台中市西屯區四川東街33號 02/18 14:50 → jimmy00102:幹!!!! 02/18 14:51 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.116.4.227 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1594391552.A.25C.html