Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Перезагрузка 2.0

Прочитали: 8902 Комментариев: 42 Рейтинг: 63

20 февраля 2020

В предыдущем выпуске мы говорили, что операционная система Windows требует, чтобы обработчики событий, к которым относится и антивирус, создавались особым образом и работали на уровне ядра системы, а не обычных приложений, с которыми работает пользователь. Но это не все нюансы. Обсудим сегодня другие!

Предположим, что некая программа/пользователь открыли файл (обратились к флешке/сетевому ресурсу). В системе возникло событие, включились обработчики:

  • подсистема записи информации о событиях (логирование);
  • подсистема аутентификации (а этому пользователю такое действие разрешено?);
  • система контроля за утечками (а не секретные ли данные передаются?);
  • хакерская утилита (а не секретные ли данные передаются?)
  • и т.д.

Понятно, что одновременно они не работают, действуют по очереди. И тут важно, что обработчик не знает, кто отрабатывал событие до него. Пример последовательностей:

  1. хакерская утилита (а не секретные ли данные сливаются)
  2. система контроля за утечками (а не секретные ли данные передаются)

Хакеры отработали событие первыми, украли данные или модифицировали их, а система контроля ни сном ни духом об этом.

А если такой вариант:

  1. система контроля за утечками (а не секретные ли данные передаются)
  2. хакерская утилита (а не секретные ли данные сливаются)

А вот тут система контроля отработала событие и запретила передачу данных, хакеры остались с носом.

Несложный вывод – системы защиты должны стоять первыми в очереди на обработку события. Перед ней событие обрабатывать не должна ни одна программа.

Так что кто первым встал, того и тапки.

#Windows #антивирус #персональные_данные

Антивирусная правДА! рекомендует

Еще одна причина, почему обработчики работают в ядре – они должны быть первыми в очереди. А это возможно только на таком уровне.

Всего вам безопасного!

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей