Разработка патча ядра или драйвера для Windows?

Question

Сколько приблизительно потребуется времени для разработки патча или драйвера ядра для ядра / серии ядер Windows NT, которые бы вводили новые функции или заменяли существующие?

Например, чтобы добавить другой алгоритм шифрования или реализовать какую-то новую модель безопасности.

Каковы преимущества / недостатки между написанием патча ядра и драйвером?

Может ли драйвер обойтись теоретически, в отличие от патча для ядра?

Я понимаю, что ядро ​​Windows является проприетарным, и для него сложно написать патч для ядра, но это точното, что делают несколько компаний, особенно AV-компании, без сотрудничества с Microsoft, так что это возможно ...

Answer 1

Другой алгоритм шифрования

Это делается путем расширения провайдера шифрования. Есть рамки, где вы можете это сделать.

новая модель безопасности

Какая новая модель безопасности?

• Если вам нужен более конкретный контроль над одним приложением, вы создаете песочницу.
• Если вам нужен более конкретный контроль над ОС, вы помещаете ОС в виртуальную машину.
• Если у вас есть что-то совершенно новое, вы должны написать новое ядро. Правильное управление - это действительно широкая тема, где вам нужно коснуться каждой точки входа, чтобы ваше решение заработало.

Можно ли теоретически обойти драйвер, как не может патч ядра?

Нет и да ... Как, по вашему мнению, драйвер меняет модель безопасности?

но это именно то, что делают несколько компаний, особенно AV-компаний.

Нет, нет. У них есть драйвер ядра, который подключается к нужным функциям. Большинство AV-программ перехватывает API-интерфейсы ReadFile / WriteFile / CreateFile, в которых они проверяют наличие «вредоносных последовательностей кода». Это не модель безопасности. Это просто двоичная проверка «Может получить доступ / может не получить доступ».

Answer 2

правильный способ изменить работу ядра - написать драйвер фильтра, который изменяет или отслеживает информацию, передаваемую между драйверами.

, которая ближе всего подходит к допустимому патчу

сЧто касается исправления таблиц функций ядра ... вы не должны этого делать, потому что: это не будет работать в выпусках x64.поскольку он не будет работать в версии x64, вы не можете WLK сертифицировать свой драйвер даже для 32-битных систем.и если вы не сможете сертифицировать свой драйвер, у вас в конечном итоге окажется неподтвержденный драйвер, который сильно обескуражен (например, вы не можете выполнить предварительную установку на компьютере, а затем выполнить сертификацию машины).