微软正在测试一项新的名为内核数据保护(KDP)的安全功能,用于阻止恶意软件破坏Windows内核
微软在技术博客中提到:
我们发现攻击者使用签名但带有漏洞的驱动程序来攻击策略数据结构并安装恶意未签名的驱动,KDP可保 证相应的数据结构不被篡改,从而缓解此种攻击手段。
除了为Win 10设备带来更好的内存和安全防护,KDP还有以下优点:
- 性能改进——KDP可以减轻验证组件的负担,无需再对添加写保护的数据进行定期验证
- 可靠性改进——KDP使诊断非安全漏洞类内存错误更加简单
- 激励驱动开发者和供应商通过KDP技术改善虚拟化安全的兼容性,提升相关技术在生态系统中的的采用率
KDP实际是一系列API的集合,通过基于虚拟化的安全(VBS)将部分Windows内核内存设置为只读来防止攻击者的篡改。VBS技术使用硬件虚拟化功能隔离出一块独立于Windows操作系统的内存。
KDP标记内存的能力除了用于Windows内核外,也可用于第三方软件,如安全产品,防作弊软件以及数字产权保护(DRM)软件。
VBS使用Windows hypervisor来创建虚拟安全模式,实施对关键系统资源的保护,如用户凭据。
目前,KDP功能已向Windows Insider用户开放体验。
来源:Microsoft testing new Windows 10 KDP anti-malware protection