¿Cuál es la diferencia entre el arranque de confianza y la protección de parches del kernel (PatchGuard)

1

He entendido que Arranque confiable y Kernel Patch Protection (o PatchGuard) son formas en que Windows utiliza para protegerse de las infecciones de rootkit. Pero no puedo encontrar una comparación de estos dos métodos de protección. No estoy buscando una comparación técnica detallada, sino solo una comparación conceptual simple.

Supongo que Kernel Patch Protection protege solo la integridad del kernel y los archivos del sistema, mientras que Arranque confiable hace lo mismo, pero Arranque confiable también es parte de Arranque seguro que protege también el cargador de arranque (un nivel superior). ¿Me equivoco? ¿Existen otras diferencias importantes? ¿Y eso significa que Arranque de confianza es en realidad un reemplazo de Kernel Path Protection o simplemente un nombre diferente?

Otro punto del que no estoy seguro es de que Kernel Patch Protection solo está disponible en sistemas Windows de 64 bits, pero ¿qué hay de arranque seguro / confiable ? ¿Está disponible también en sistemas Windows de 32 bits?

    
pregunta pineappleman 08.03.2016 - 14:26
fuente

2 respuestas

1

Yo diría que Kernel Patch Protection no está específicamente dirigido a códigos maliciosos como rootkit, sino a controladores legítimos pero mal diseñados. Antes de dicha protección, algunos controladores especiales del kernel, como los utilizados por el software antivirus, sobrescriben rutinariamente las estructuras de datos del kernel o incluso codifican para enlazar (interceptar) las rutinas del kernel. Este tipo de comportamiento no es compatible y a menudo conduce a conflictos y BSoDs. (Por eso se le dice a la gente que no instale más de un antivirus). Kernel Patch Protection no detiene directamente dicha modificación, sino que hace que el sistema se bloquee cuando se detecte dicha modificación, lo que obliga a los fabricantes del software a utilizar otras técnicas. .

El código malicioso que ha ganado el privilegio del kernel puede operar fácilmente sin activar esta Protección. Además, dado que el código de protección es pasivo (no se acepta activamente la modificación) y solo tiene el mismo nivel de acceso que otro código del kernel, un atacante determinado puede desactivarlo.

El arranque seguro, por otro lado, utiliza funciones de hardware para evitar que se ejecute código no autorizado durante el proceso de arranque. Si se implementa correctamente, proporcionará protección total hasta que se cargue el terreno del usuario (donde cualquier código puede ejecutarse con la bendición de un administrador). El concepto puede recibir algunas mejoras, pero es poco probable que pueda reemplazarse con algo mejor.

El arranque seguro está disponible en Windows de 32 bits siempre que instale la versión UEFI.

    
respondido por el billc.cn 08.03.2016 - 15:07
fuente
1

Pregunta 1:

Kernel Path Protection se centra en la protección del Kernel, lo que significa que los controladores de dispositivos no pueden modificar nada relacionado con el Kernel. Si la Protección de la ruta del kernel está habilitada, tiene menos posibilidades de obtener cualquier BSoD o de que los rootkits se aniden en el kernel.

Trusted Boot se centra más en el software en el que confía el fabricante. Por lo tanto, no se iniciarán otros programas, como malware.

Ambos son 2 tipos diferentes de métodos para proteger el sistema.

Pregunta 2:

El arranque seguro / confiable está en todos los sistemas disponibles.

Espero haber respondido a tu pregunta.

    
respondido por el mike-stokkel 08.03.2016 - 14:50
fuente

Lea otras preguntas en las etiquetas