Ry
Member | Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Цитата:| насколько я знаю, еще не было вроде не одного вируса/руткита для vista+ c подписанным драйвером. |
Он и не нужен(подписанный драйвер). Patchguard стартует позже буткитов и вместо борьбы с руткитовыми драйверами, он их защищает. Единственная проблемка состоит в правильном размещении руткитовых перехватчиков. Но как показал XPAJ, будучи буткитом можно даже сплайсинг применять, PG будет считать сплайсиг родным перехватом и пресекать любые попытки его убрать. Вот Русаков писал об этом:
" Так как Xpaj — буткит, то он может контролировать любой этап загрузки ОС и модифицировать ядро еще до начала инициализации защитного механизма. В момент инициализации ядро уже содержит все модификации и перехваты Xpaj, и вместо того, чтобы обнаруживать эти изменения, Patch Guard начинает их защищать!
Я провел небольшой эксперимент, чтобы убедиться в том, что Patch Guard действительно защищает перехваты ZwLoadDriver/NtReadFile/NtWriteFile. Я стартовал зараженную систему в режиме отладки, дождался ее загрузки, подключил ядерный отладчик и восстановил модифицированные байты одной из перехваченных функций. Через некоторое время произошел крах системы. То есть Patch Guard обнаружил изменение ядра в памяти и вызвал BSOD."
До TDL4 было пару руткитов под х64, но они работали очень палевно - были подписаны тестовыми подписями и перед заражением системы отправляли bcdedit.exe -set TESTSIGNING ON(PG в этом режиме позволяет загрузку драйверов с тестовыми подписями), а после ребута системы в правом нижнем углу появлялась надпись "Тестовый режим. Windows 7 bulld 7601". |
