es una pregunta muy simple pero puede que no sea demasiado trivial. Imagine que un atacante tiene acceso a su dispositivo y obtuvo el privilegio de SISTEMA. Su empresa ha instalado un agente de registro en su dispositivo para capturar todas estas actividades maliciosas. ¿Hay alguna forma de evitar que un atacante detenga el agente de registro y envíe tráfico "verde" al servidor de registro?
Una forma en la que puedo pensar es usando algo similar a cred guard en Windows 10, tienes un hipervisor y ejecutas el agente en una región de memoria de modo "dios" separada. Así que el agente puede supervisar todas las actividades maliciosas y el atacante no podría modificarlo. (Esto requiere que el modo hipervisor esté habilitado).
Sandboxing puede ayudar aquí, pero supongamos que el atacante obtuvo el privilegio de nivel de sistema operativo.
¿Ayudará el uso de un dispositivo electrónico externo aquí? (Barra táctil en mac)