Antimalware de inicio temprano
Plataformas
Clientes: Windows 8
Servidores: Windows Server 2012
Descripción
A medida que el software antimalware (AM) se ha vuelto mejor y mejor al detectar malware en tiempo de ejecución, los atacantes también se están volviendo mejores al crear rootkits que pueden ocultarse de la detección. La detección de malware que se inicia al principio del ciclo de arranque es un desafío que la mayoría de los proveedores de AM abordan diligentemente. Normalmente, crean hacks del sistema que no son compatibles con el sistema operativo host y realmente pueden dar lugar a colocar el equipo en un estado inestable. Hasta este punto, Windows no ha proporcionado una buena manera de que AM detecte y resuelva estas amenazas de arranque temprano.
Windows 8 presenta una nueva característica denominada Arranque seguro, que protege la configuración y los componentes de arranque de Windows, y carga un controlador antimalware de inicio temprano (ELAM). Este controlador se inicia antes de otros controladores de arranque y habilita la evaluación de esos controladores y ayuda al kernel de Windows a decidir si se deben inicializar.
Manifestación
Al iniciarse primero por el kernel, se garantiza que ELAM se inicie antes de cualquier software de terceros y, por tanto, es capaz de detectar malware en el proceso de arranque y evitar que se inicialice.
Mitigación
Los controladores de arranque se inicializan en función de la clasificación que se devuelve del controlador ELAM según una directiva de inicialización. De forma predeterminada, la directiva inicializa controladores válidos y desconocidos conocidos, pero no inicializará controladores incorrectos conocidos. Un administrador del sistema puede especificar una directiva personalizada a través de directiva de grupo que puede impedir que se inicialicen controladores desconocidos o que puedan habilitar los controladores críticos para el proceso de arranque, pero que se han alterado, se han inicializado el arranque.
Solución
Un controlador ELAM debe registrarse para las devoluciones de llamada del kernel para obtener información sobre cada controlador de arranque a medida que se inicializa. Después, el controlador ELAM puede devolver una clasificación para cada controlador. Estas funciones son necesarias:
Un controlador ELAM también puede registrarse para las devoluciones de llamada del Registro. De este modo, el controlador ELAM inspecciona los datos de configuración que usa cada controlador de arranque. Después, el controlador ELAM puede bloquear o modificar los datos antes de que los controladores de arranque los usen, si es necesario. Estas funciones son necesarias:
Para obtener más información sobre los requisitos del controlador ELAM y el uso de la API, consulte Antimalware de inicio temprano.
Pruebas
Los controladores ELAM deben estar firmados especialmente por Microsoft para asegurarse de que el kernel de Windows los inicia al principio del proceso de arranque. Para obtener la firma, los controladores ELAM deben superar un conjunto de pruebas de certificación para comprobar el rendimiento y otro comportamiento. Estas pruebas se incluyen en el Kit de certificación de hardware de Windows.
Recursos
- Antimalware de inicio temprano
- CmRegisterCallbackEx
- CmUnRegisterCallback
- IoRegisterBootDriverCallback
- IoUnRegisterBootDriverCallback
- Certificación de hardware con la presentación de la conferencia de compilación del Kit de certificación de hardware de Windows
- Descargar kits y herramientas
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de