Verificação de integridade do código

A integridade da memória é um recurso de VBS (segurança baseada em virtualização) disponível em Windows 10, Windows 11 e Windows Server 2016 e posteriores. A integridade da memória e o VBS melhoram o modelo de ameaça do Windows e fornecem proteções mais fortes contra malware que tenta explorar o kernel do Windows. A VBS usa o hipervisor do Windows para criar um ambiente virtual isolado que se torna a raiz de confiança do sistema operacional que pressupõe que o kernel pode ser comprometido. A integridade da memória é um componente crítico que protege e protege o Windows executando a integridade do código do modo kernel no ambiente virtual isolado do VBS. A integridade da memória também restringe as alocações de memória do kernel que podem ser usadas para comprometer o sistema, garantindo que as páginas de memória do kernel sejam executadas somente depois de passar em verificações de integridade de código dentro do ambiente de runtime seguro e as próprias páginas executáveis nunca sejam graváveis.

Observação

Às vezes, a integridade da memória é conhecida como HVCI (integridade de código protegida por hipervisor) ou integridade de código imposta pelo hipervisor e foi originalmente lançada como parte do Device Guard. O Device Guard não é mais usado, exceto para localizar a integridade da memória e as configurações de VBS no Política de Grupo ou no Registro do Windows.

As verificações de integridade de código garantem a compatibilidade com os requisitos de uso de memória do kernel da integridade da memória e detectam as seguintes violações:

Código do erro	Problema de integridade do código
0x2000: 2 – O endereço no código do driver em que o erro foi detectado. 3 – Tipo de pool. 4 – Marca de pool (se fornecido).	O chamador especificou um tipo de pool executável. (Esperado: NonPagedPoolNx)
0x2001: 2 – O endereço no código do driver em que o erro foi detectado. 3 – Proteção de Página (WIN32_PROTECTION_MASK).	O chamador especificou uma proteção de página executável. (Esperado: PAGE_EXECUTE* bits limpos)
0x2002: 2 – O endereço no código do driver em que o erro foi detectado. 3 – Prioridade de página (MM_PAGE_PRIORITY logicamente OR'd com MdlMapping*).	O chamador especificou um mapeamento de MDL executável. (Esperado: MdlMappingNoExecute).
0x2003: 2 - O nome do arquivo de imagem (cadeia de caracteres Unicode). 3 – O endereço do cabeçalho da seção. 4 – O nome da seção (cadeia de caracteres codificada em UTF-8).	A imagem contém uma seção executável e gravável.
0x2004: 2 - O nome do arquivo de imagem (cadeia de caracteres Unicode). 3 – O endereço do cabeçalho da seção. 4 – O nome da seção (cadeia de caracteres codificada em UTF-8).	A imagem contém uma seção que não está alinhada à página.
0x2005: 2 - O nome do arquivo de imagem (cadeia de caracteres Unicode). 3 – Diretório IAT. 4 – O nome da seção (cadeia de caracteres codificada em UTF-8).	A imagem contém um IAT localizado em uma seção executável.

Ativando essa opção:

Você pode ativar a verificação de integridade de código para um ou mais drivers usando o Gerenciador de Verificador de Driver ou a linha de comando Verifier.exe. Para obter detalhes, consulte Selecionando opções de verificador de driver. Você deve reiniciar o computador para ativar ou desativar a opção de verificação de integridade de código.

• Na linha de comando

  Na linha de comando, a verificação de integridade do código é representada por 0x02000000 (Bit 25). Por exemplo:

  verifier /flags 0x02000000 /driver MyDriver.sys

  O recurso estará ativo após a próxima inicialização.

• Usando o Gerenciador de Verificador de Driver

1. Iniciar o Gerenciador de Verificador de Driver. Digite Verificador em uma janela do Prompt de Comando.
2. Selecione Criar configurações personalizadas (para desenvolvedores de código) e clique em Avançar.
3. Selecione(marcar) verificação de integridade de código.
4. Reinicie o computador.

Tópicos relacionados

Implementar código compatível com integridade de memória