どのWindowsアプリでもカーネルドライバーをインストールできますか?そうでない場合、アンチウイルスはどのようにカーネルドライバをインストールできますか?
どのアプリケーションでもカーネルドライバをインストールできますか?そうでない場合、Windowsは誰ができるか、できないかをどのように決定するのでしょうか。
AVがカーネルドライバーをインストールできる場合、それらが他のアプリと同様にインストーラーを備えたアプリケーションであることを考えると、マルウェアがカーネルドライバーをインストールしてAVの保護をバイパスするのを阻止するものは何ですか?
Windowsでは、ドライバーをインストールするにはローカルの管理者権限が必要です。つまり管理者として実行するか、UACプロンプトを介して許可するユーザーとして実行します。
マルウェアがそれを持っている場合、はいそれはそれ自身をインストールすることができます。このため、通常は低い特権のアカウントを使用し、予想されるプロンプトでは管理者パスワードのみを提供する必要があります。
ウイルス対策コアはシステム権限で実行されます。それが可能な限り最高です。ただし、この時点でも、Windowsではドライバーをインストールできません。ウイルス対策企業は、信頼できる証明書でドライバーに署名し、それらのドライバーをMicrosoftでのさらなるテストと二重署名に送信します。 Microsoftがドライバに署名を付けた後にのみ、Windowsで実行できます。
Windowsは、次のドライバーにデジタル署名を要求することでOSを保護します。
- カーネルモードデバイスドライバー
- ユーザーモードデバイスドライバー
- 保護されたコンテンツをストリーミングするドライバー。
デジタル署名は、相互署名のためにMicrosoftの相互認証とともに使用されるAuthenticode証明書です。これにより、(a)ドライバーが変更/破損されていない(署名)、(b)ドライバーがMicrosoftによって(ある程度)承認および信頼されている(相互署名)。
ドライバーの署名 ここ に関する便利な情報がたくさんあります。