早期啟動反惡意程式碼

  • 發行項

平台

用戶端- Windows 8
伺服器- Windows Server 2012

描述

由於反惡意程式碼 (AM) 軟體在偵測執行時間惡意程式碼時變得更好,因此攻擊者在建立可隱藏偵測的 rootkit 時也會變得更好。 偵測在開機週期初期啟動的惡意程式碼,是大部分 AM 廠商努力解決的挑戰。 一般而言,他們會建立主機作業系統不支援的系統駭客,而且實際上可能會導致電腦處於不穩定狀態。 此時,Windows 尚未為 AM 提供偵測並解決這些早期開機威脅的好方法。

Windows 8引進稱為安全開機的新功能,可保護 Windows 開機設定和元件,並載入早期啟動反惡意程式碼 (ELAM) 驅動程式。 此驅動程式會在其他開機啟動驅動程式之前啟動,並啟用這些驅動程式的評估,並協助 Windows 核心決定是否應該初始化它們。

表現

藉由核心先啟動,ELAM 可確保在任何協力廠商軟體之前啟動,因此能夠偵測開機程式中的惡意程式碼,並防止其初始化。

降低

開機驅動程式是根據根據初始化原則從 ELAM 驅動程式傳回的分類來初始化。 根據預設,原則會初始化已知良好和未知的驅動程式,但不會初始化已知的不良驅動程式。 系統管理員可以透過群組原則來指定自訂原則,以防止未知的驅動程式初始化,或啟用開機程式的重要驅動程式,但已遭竄改、要初始化開機。

解決方案

ELAM 驅動程式必須註冊核心回呼,才能在初始化時取得每個開機啟動驅動程式的相關資訊。 然後,ELAM 驅動程式可以傳回每個驅動程式的分類。 這些函式是必要的:

ELAM 驅動程式也可以註冊登錄回呼。 這麼做可讓 ELAM 驅動程式檢查每個開機啟動驅動程式所使用的組態資料。 然後,ELAM 驅動程式可以封鎖或修改資料,然後才供開機啟動驅動程式使用。 這些函式是必要的:

如需 ELAM 驅動程式需求和 API 使用方式的詳細資訊,請參閱 早期啟動反惡意程式碼軟體

測試

ELAM 驅動程式必須由 Microsoft 特別簽署,以確保在開機程式初期由 Windows 核心啟動。 若要取得簽章,ELAM 驅動程式必須通過一組認證測試,以確認效能和其他行為。 這些測試包含在 Windows 硬體認證套件中。

資源