开启Device Guard是否可以使绝大多数Rootkit失去驱动对抗的能力？

a27573

Device Guard究竟保护了内核的哪些部分？
ntoskrnl.exe和hal.dll应该被保护了
那么ntfs.sys和atapi.sys之类呢？
还有IDT、SSDT、Shadow SSDT等等，这些表是位于ntoskrnl中吗？如果不是，它们被保护了吗？

以及既然Patch Guard可以被绕过，Device Guard可能被绕过吗？

大佬们可以帮忙解答一下吗?
谢谢

@lifan88
@驭龙

驭龙

DG现在是WDSG实际上是把内核放在HV虚拟环境中，所以大部分的驱动威胁是无效的，但什么都没有百分百安全，只是开DG的话，肯定是比不开安全很多的

a27573

驭龙 发表于 2020-3-15 14:23
DG现在是WDSG实际上是把内核放在HV虚拟环境中，所以大部分的驱动威胁是无效的，但什么都没有百分百安全，只 ...

谢谢
所以这个“内核”是包括了 ntoskrnl.exe 之外的可以被 hook 用来对抗杀软的组件对吧？
我知道一般意义上的 windows 内核是指 ntoskrnl.exe，如果只保护 ntoskrnl.exe 的话，hook ntfs.sys 或 atapi.sys 之类也可以控制磁盘读写

liumailong

开启后好像可以防御PCIE设备直接读内存，对雷电接口有用。

tdsskiller

这个我推荐@wowocock

我感觉对于deviceguard，就是vmp类很难受，白利用就完事了

tdsskiller

emmm，根据我看到某大佬的意思，如果他不是吹牛逼的话。。。

驱动白利用别说device guard，HVCI照样可以干坏事

tdsskiller

驭龙 发表于 2020-3-15 14:23
DG现在是WDSG实际上是把内核放在HV虚拟环境中，所以大部分的驱动威胁是无效的，但什么都没有百分百安全，只 ...

以后就会有了某些“fake av”+whql驱动的国外冷门杀软，那个洞连女娲都怕

驭龙

tdsskiller 发表于 2020-5-21 18:18
以后就会有了某些“fake av”+whql驱动的国外冷门杀软，那个洞连女娲都怕

所以我说DG并不是非常安全，只是相对的比不使用DG安全一点，DG的存在只是提高一点黑客的入门门槛而已，实际上没有攻不破的防御。

tdsskiller

驭龙 发表于 2020-5-21 18:31
所以我说DG并不是非常安全，只是相对的比不使用DG安全一点，DG的存在只是提高一点黑客的入门门槛而已，实 ...

现在有一种cracker叫偷偷怪，看看别人怎么稳定或者过这些机制的，然后就怒破混淆和强壳直接偷就是要求很高就是了，基本没有几个能这么干成的

驭龙

tdsskiller 发表于 2020-5-21 19:04
现在有一种cracker叫偷偷怪，看看别人怎么稳定或者过这些机制的，然后就怒破混淆和强壳直接偷就是 ...

计算机安全，就是道高一尺魔高一丈，魔高一尺道高一丈，无限循环