DLL AppInit et démarrage sécurisé

À compter de Windows 8, l’infrastructure AppInit_DLLs est désactivée lorsque le démarrage sécurisé est activé.

À propos de AppInit_DLLs

L’infrastructure AppInit_DLLs offre un moyen simple d’hook API système en permettant aux DLL personnalisées d’être chargées dans l’espace d’adressage de chaque application interactive. Les applications et les logiciels malveillants utilisent des DLL AppInit pour la même raison de base, qui consiste à hook API ; une fois la DLL personnalisée chargée, elle peut hook une API système connue et implémenter d’autres fonctionnalités. Seuls un petit ensemble d’applications légitimes modernes utilisent ce mécanisme pour charger des DLL, tandis qu’un grand ensemble de programmes malveillants utilisent ce mécanisme pour compromettre les systèmes. Même les AppInit_DLLs légitimes peuvent provoquer involontairement des blocages système et des problèmes de performances, par conséquent l’utilisation de AppInit_DLLs n’est pas recommandée.

AppInit_DLLs et démarrage sécurisé

Windows 8 adopté UEFI et démarrage sécurisé pour améliorer l’intégrité globale du système et fournir une protection forte contre les menaces sophistiquées. Lorsque le démarrage sécurisé est activé, le mécanisme de AppInit_DLLs est désactivé dans le cadre d’une approche sans compromission pour protéger les clients contre les programmes malveillants et les menaces.

Notez que le démarrage sécurisé est un protocole UEFI et non une fonctionnalité Windows 8. Vous trouverez plus d’informations sur UEFI et la spécification du protocole de démarrage sécurisé à l’adresse https://www.uefi.org.

exigence de certification AppInit_DLLs pour les applications de bureau Windows 8

L’une des exigences de certification pour Windows 8 applications de bureau est que l’application ne doit pas charger de DLL arbitraires pour intercepter les appels d’API Win32 à l’aide du mécanisme de AppInit_DLLs. Pour plus d’informations sur les exigences de certification, consultez la section 1.1 des exigences de certification pour les applications de bureau Windows 8.

Résumé

  • Le mécanisme AppInit_DLLs n’est pas une approche recommandée pour les applications légitimes, car il peut entraîner des blocages système et des problèmes de performances.
  • Le mécanisme AppInit_DLLs est désactivé par défaut lorsque le démarrage sécurisé est activé.
  • L’utilisation de AppInit_DLLs dans une application de bureau Windows 8 est un échec de certification d’application de bureau Windows.

Consultez le livre blanc suivant pour plus d’informations sur les AppInit_DLLs sur Windows 7 et Windows Server 2008 R2 : DLL AppInit dans Windows 7 et Windows Server 2008 R2.