Antimalware de inicialização antecipada
Plataformas
Clientes – Windows 8
Servidores – Windows Server 2012
Descrição
À medida que o software antimalware (AM) se tornou cada vez melhor na detecção de malware de runtime, os invasores também estão se tornando melhores na criação de rootkits que podem se ocultar da detecção. Detectar malware que começa no início do ciclo de inicialização é um desafio que a maioria dos fornecedores de AM aborda diligentemente. Normalmente, eles criam hacks do sistema que não são compatíveis com o sistema operacional do host e podem, na verdade, resultar na colocação do computador em um estado instável. Até agora, o Windows não forneceu uma boa maneira de o AM detectar e resolve essas ameaças de inicialização antecipada.
Windows 8 apresenta um novo recurso chamado Inicialização Segura, que protege a configuração e os componentes de inicialização do Windows e carrega um driver ELAM (Antimalware de Inicialização Antecipada). Esse driver começa antes de outros drivers de inicialização e habilita a avaliação desses drivers e ajuda o kernel do Windows a decidir se eles devem ser inicializados.
Manifestação
Ao ser iniciado primeiro pelo kernel, o ELAM é iniciado antes de qualquer software de terceiros e, portanto, é capaz de detectar malware no processo de inicialização e impedi-lo de inicializar.
Atenuação
Os drivers de inicialização são inicializados com base na classificação retornada do driver ELAM de acordo com uma política de inicialização. Por padrão, a política inicializa drivers bons e desconhecidos conhecidos, mas não inicializará drivers inválidos conhecidos. Um administrador do sistema pode especificar uma política personalizada por meio de Política de Grupo que podem impedir que drivers desconhecidos sejam inicializados ou que possam habilitar drivers críticos para o processo de inicialização, mas que foram adulterados, sejam inicializados.
Solução
Um driver ELAM deve se registrar para retornos de chamada do kernel para obter informações sobre cada driver de inicialização conforme ele está inicializando. O driver ELAM pode retornar uma classificação para cada driver. Essas funções são necessárias:
Um driver ELAM também pode se registrar para retornos de chamada do Registro. Isso permite que o driver ELAM inspecione os dados de configuração usados por cada driver de inicialização. O driver ELAM pode bloquear ou modificar os dados antes que eles sejam usados pelos drivers de inicialização, se necessário. Essas funções são necessárias:
Para obter mais detalhes sobre os requisitos de driver ELAM e o uso da API, consulte Antimalware de inicialização antecipada.
Testes
Os drivers ELAM devem ser assinados especialmente pela Microsoft para garantir que eles sejam iniciados pelo kernel do Windows no início do processo de inicialização. Para obter a assinatura, os drivers ELAM devem passar por um conjunto de testes de certificação para verificar o desempenho e outros comportamentos. Esses testes estão incluídos no Kit de Certificação de Hardware do Windows.
Recursos
- Antimalware de inicialização antecipada
- CmRegisterCallbackEx
- CmUnRegisterCallback
- IoRegisterBootDriverCallback
- IoUnRegisterBootDriverCallback
- Certificando o hardware com a apresentação da Conferência de Build do Kit de Certificação de Hardware do Windows
- Baixar Kits e Ferramentas
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de