我正在研究恶意软件分析。我使用微筛选器驱动程序来拦截文件系统访问。然后,我应用算法来检测恶意活动。 我的问题: 它知道驱动程序需要签名 Microsoft 才能公开发布。 https://learn.microsoft.com/fr-fr/windows-hardware/drivers/dashboard/attestation-signing-a-kernel-driver-for-public-release
它是否有权在内核空间中将算法实现为 AI,或者我必须在用户空间中实现它们?关于Microsoft、正确的体系结构和安全性,建议什么?
如果你能实现一个Windows内核驱动程序,你可以做任何你想做的事情。不仅是算法,我们还将OpenSSL,SQLite和其他开源项目(当然是C和C++(移植到我们的Windows内核驱动程序中。这不是不可能完成的任务。只是您需要知道如何解决和限制。
从 MS 进行驱动程序签名的想法是避免流氓驱动程序开发人员在内核中运行恶意软件。这是很长一段时间以来 32 位 Windows 的最大问题,因为在内核中您不仅可以实现某些内容,还可以滥用任何东西,包括内核变量、文件系统数据、注册表,您甚至可以挂接到您想要的任何代码(如果系统保护未运行(。但是,这种证书也不是完美的。几年前,黑客从公司(如果我没记错的话,RealTek(窃取了证书并签署了他们的恶意软件驱动程序。