커널 패치 보호

Kernel Patch Protection
커널은 애플리케이션 소프트웨어를 컴퓨터의 하드웨어에 연결합니다.

KPP(Kernel Patch Protection)는 Microsoft Windows 64비트(x64) 에디션의 기능으로 커널의 패치를 방지합니다.Windows XPWindows Server 2003 Service Pack [1]1의 x64 에디션에서 2005년에 처음 도입되었습니다.

"커널 패칭"은 윈도우즈 운영 체제의 중앙 구성 요소 또는 커널에 대한 지원되지 않는 수정을 의미합니다.Microsoft에 따르면 이러한 수정은 시스템 보안, 신뢰성 및 [1]성능을 크게 저하시킬 수 있기 때문에 Microsoft는 지금까지 이러한 수정을 지원하지 않았습니다.Microsoft는 권장하지 않지만 Windows의 x86 에디션에서는 커널에 패치를 적용할 수 있지만 Windows의 x64 에디션에서는 커널 패치 적용에 대한 추가적인 보호 및 기술적 장벽을 구현하기로 결정했습니다.

32비트(x86) 버전의 Windows에서는 커널 패치가 가능하기 때문에 일부 안티바이러스 소프트웨어 개발자는 커널 패치를 사용하여 안티바이러스 및 기타 보안 서비스를 구현합니다.이러한 기술은 Windows의 x64 Edition을 실행하는 컴퓨터에서는 작동하지 않습니다.이 때문에, 커널 패치 보호에서는, 바이러스 대책 메이커가 커널 패치 기술을 사용하지 않고 소프트웨어를 재설계할 필요가 있었습니다.

다만, Windows 커널의 설계상, 커널 패치 보호는 커널 [2]패치 적용을 완전하게 막을 수 없습니다.이로 인해 KPP는 불완전한 방어이기 때문에 악성 소프트웨어 개발자는 단순히 [3][4]방어책에서 벗어나기 때문에 안티바이러스 벤더에게 야기되는 문제가 이점을 능가한다는 비판이 제기되고 있습니다.그러나 커널 패치 보호는 지원되지 않는 방법으로 정규 소프트웨어가 커널에 패치를 적용함으로써 발생하는 시스템 안정성, 신뢰성 및 성능 문제를 방지할 수 있습니다.

기술 개요

Windows 커널은 디바이스 드라이버가 커널 [5]자체와 동일한 권한 수준을 갖도록 설계되었습니다.디바이스 드라이버는 커널 [1]내의 코어 시스템 구조를 수정하거나 패치를 적용하지 않습니다.다만, Windows 의 x86 에디션에서는, Windows 는 이러한 요구를 강요하지 않습니다.그 결과 일부 x86 소프트웨어, 특히 특정 보안 및 안티바이러스 프로그램은 핵심 커널 구조를 [5][6]수정하는 드라이버를 로드하여 필요한 작업을 수행하도록 설계되었습니다.

Windows 의 x64 에디션에서는, Microsoft 는 드라이버가 변경할 수 있는 구조와 변경할 수 없는 구조에 관한 제한을 실시하기 시작했습니다.커널 패치 보호는 이러한 제한을 적용하는 기술입니다.커널의 보호된 시스템 구조가 변경되지 않았는지 정기적으로 확인합니다.변경이 검출되면, Windows 는 버그 체크를 개시해,[5][7] 시스템을 셧다운 해, 블루 스크린이나 재기동합니다.대응하는 버그 체크 번호는 0x109, 버그 체크 코드는 CRITIAL_STRUCTURE_CORUSTION입니다.변경 금지사항은 다음과 같습니다.[7]

커널 패치 보호는 커널을 수정하는 장치 드라이버만 보호합니다.디바이스 드라이버에 [9]다른 드라이버가 패치되는 것을 막을 수 없습니다.

최종적으로 디바이스 드라이버는 커널 자체와 동일한 특권 수준을 가지고 있기 때문에 드라이버가 커널 패치 보호를 우회하여 [2]커널 패치를 적용하는 것을 완전히 막을 수 없습니다.그러나 KPP는 커널 패치 적용에 큰 장애가 됩니다.KPP는 고도로 난독화된 코드와 오해의 소지가 있는 기호 이름을 사용하여 [5][10]무명을 통한 보안을 사용하여 우회 시도를 방해합니다.KPP에 대한 정기적인 업데이트는 "이동 대상"이 됩니다. 잠시 동안 사용할 수 있는 바이패스 기법이 다음 업데이트에서 중단될 가능성이 높기 때문입니다.Microsoft는 2005년 설립된 이후 지금까지 KPP에 대해 두 가지 주요 업데이트를 발표했는데, 각각 이전 [5][11][12]버전에서 알려진 바이패스 기술을 깨도록 설계되어 있습니다.

이점

커널 패치 적용은 여러 가지 부정적인 [6]영향을 미칠 수 있기 때문에 Microsoft에서는 지금까지 지원되지 않았습니다.커널 패치 보호는 다음과 같은 부정적인 영향을 방지합니다.

  • 커널에 [13]심각한 오류가 있습니다.
  • 커널의 [14]동일한 부분에 패치를 적용하려고 하는 여러 프로그램에서 발생하는 신뢰성 문제.
  • 시스템 [5]보안이 손상되었습니다.
  • 루트킷은 커널 액세스를 사용하여 자신을 운영 체제에 포함시킬 수 있으며,[13] 삭제가 거의 불가능합니다.

Microsoft의 커널 패치 프로텍션 FAQ에서 자세히 설명합니다.

패치는 커널 코드를 알 수 없는 테스트되지 않은 코드로 대체하기 때문에 서드파티 코드의 품질이나 영향을 평가할 수 없습니다.Microsoft의 Online Crash Analysis(OCA; 온라인 크래시 분석) 데이터를 조사하면 일반적으로 커널에 패치를 적용하는 악성 소프트웨어 및 비악성 소프트웨어 모두에 의해 시스템 크래시가 발생한다는 것을 알 수 있습니다.

—.mw-parser-output cite.citation{font-style:상속을 하다;word-wrap:break-word}.mw-parser-output .citation q{인용:")"""\"""'""'"}.mw-parser-output .citation:target{background-color:rgba(0,127,255,0.133)}.mw-parser-output.id-lock-freea,.mw-parser-output .citation .cs1-lock-free{.배경:linear-gradient(transparent,transparent),url("//upload.wikimedia.org/wikipedia/commons/6/65/Lock-green.svg")right 0.1em center/9pxno-repeat}.mw-parser-output .id-lock-limiteda,.mw-parser-output .id-lock-registration a,.mw-parser-output .citation .cs1-lock-limiteda,.mw-parser-output .citation .cs1-lock-registration{.배경:linear-gradient(transparent,transparent),url("//upload.wikimedia.org/wikipedia/commons/d/d6/Lock-gray-alt-2.svg")right 0.1em center/9pxno-repeat}.mw-parser-output .id-lock-subscription a,.mw-parser-output .citation .cs1-lock-subscription{.배경:linear-gradient(transparent,transparent),url("//upload.wikimedia.org/wikipedia/commons/a/aa/Lock-red-alt-2.svg")right 0.1em center/9pxno-repeat}.mw-parser-output{배경 .cs1-ws-icon:linear-gradient(transparent,transparent),url("//upload.wikimedia.org/wikipedia/commons/4/4c/Wikisource-logo.svg")right 0.1emcenter/12pxno-repeat}.mw.-parser-output .cs1-code{색:상속을 하다;배경:상속을 하다;국경 아무 것도 없고 패딩: 물려받다}.mw-parser-output .cs1-hidden-error{디스플레이:아무도, 색:#d33}.mw-parser-output .cs1-visible-error{색:#d33}.mw-parser-output .cs1-maint{디스플레이:아무도, 색:#3a3, margin-left:0.3em}.mw-parser-output .cs1-format{:95%font-size}.mw-parser-output .cs1-kern-left{.Padding-left:0.2em}.mw-parser-output .cs1-kern-right{padding-right:0.2em}.mw-parser-output .citation .mw-selflink{font-weight:상속}"Kernel 패치 보호:.자주 Questions"가 물었다.Microsoft.222007년 1월.222007년 2월 Retrieved.

비판

서드파티 어플리케이션

McAfeeMcAfee VirusScanSymantec의 Norton AntiVirus와 같은 일부 컴퓨터 보안 소프트웨어는 x86 [citation needed]시스템에서 커널에 패치를 적용하여 작동합니다.Kaspersky Lab이 개발한 안티바이러스 소프트웨어는 Windows [15]x86 에디션에서 커널 코드 패치를 광범위하게 사용하는 것으로 알려져 있습니다.이러한 안티바이러스 소프트웨어는 커널 패치 [16]보호 때문에 Windows의 x64 에디션을 실행하는 컴퓨터에서는 작동하지 않습니다.이 때문에 McAfee는 마이크로소프트가 KPP를 윈도우에서 완전히 제거하거나 [3]자신들과 같은 "신뢰할 수 있는 회사"가 만든 소프트웨어에 예외를 둘 것을 요구했다.

Symantec의 기업 안티바이러스[17] 소프트웨어 및 Norton 2010[18] KPP의 제한에도 불구하고 Windows x64 에디션에서 동작했지만 제로 데이 멀웨어에 대한 보호 기능은 낮았습니다.경쟁 제품인 ESET,[19] Trend Micro,[20] Gridsoft AVG,[21] avast!, Avira Anti-Vir 및 Sophos에 의해 제조된 안티바이러스 소프트웨어는 기본 구성으로 커널에 패치를 적용하지 않지만 "advanced process protection" 또는 "process의 무단 종료 방지" 등의 기능이 [22]활성화되어 있는 경우 커널에 패치를 적용할 수 있습니다.

당시 마이크로소프트의 공동 사장이었던 Jim Allchin은 커널 패치 프로텍션의 확고한 지지자였다.

Microsoft는 하이퍼바이저 가상화 소프트웨어의 [9][23]이점 등 때때로 제한을 완화하는 것으로 알려져 있습니다만, Microsoft는 예외를 두는 것으로 커널 패치 보호를 약화시키지 않습니다.대신 Microsoft는 서드파티 회사와 협력하여 보안 소프트웨어가 [14]커널에 패치를 적용하지 않고 필요한 작업을 수행할 수 있도록 지원하는 새로운 애플리케이션 프로그래밍 인터페이스를 만들었습니다.이러한 새로운 인터페이스는 Windows Vista Service Pack [24]1에 포함되어 있습니다.

약점

Windows 커널의 설계상 커널 패치 보호는 커널 [2]패치 적용을 완전히 막을 수 없습니다.이로 인해 컴퓨터 보안 프로바이더인 McAfee와 Symantec은 KPP가 불완전한 방어이기 때문에 보안 프로바이더에게 야기된 문제가 이점을 능가한다고 주장했습니다.는 악성 소프트웨어가 KPP의 방어에 대한 방법을 찾기만 하면 되고 서드파티 보안 소프트웨어는 시스템을 [3][4]방어할 수 있는 행동의 자유를 잃게 되기 때문입니다.

2006년 1월, "skape"와 "Skywing"이라는 가명으로 알려진 보안 연구자는 커널 패치 보호를 [25]우회할 수 있는 방법을 설명하는 보고서를 발표했습니다.Skywing은 2007년 1월에 KPP 버전 [26]2의 바이패스에 관한 두 번째 보고서와 2007년 9월에 KPP 버전 [27]3의 세 번째 보고서를 발행했다.또, 2006년 10월에는, 시큐러티 회사 Authentium[28]KPP를 바이패스 하는 작업 방법을 개발했습니다.

그럼에도 불구하고 Microsoft는 표준 보안 응답 [29]센터 프로세스의 일부로 KPP를 우회할 수 있는 모든 결함을 제거할 것을 약속했습니다.이 성명에 따라 마이크로소프트는 지금까지 KPP에 대해 두 가지 주요 업데이트를 발표했습니다.각 업데이트는 이전 [5][11][12]버전에서 알려진 바이패스 기술을 깨도록 설계되었습니다.

반독점 행위

2006년 유럽위원회는 커널 패치 보호에 대해 [30]반경쟁적이라며 우려를 표명했다.그러나 마이크로소프트의 자체 안티바이러스 제품인 Windows Live OneCare에는 KPP에 대한 특별한 예외가 없었다.대신 Windows Live OneCare는 바이러스 방지 [31]서비스를 제공하기 위해 커널 패치 적용 이외의 방법을 사용했습니다(그리고 항상 사용).다만, 그 외의 이유로,[32] Windows Live OneCare 의 x64 에디션은 2007년 11월 15일까지는 입수할 수 없었습니다.

레퍼런스

  1. ^ a b c "Kernel Patch Protection: Frequently Asked Questions". Microsoft. 22 January 2007. Retrieved 30 July 2007.
  2. ^ a b c skape; Skywing (December 2005). "Introduction". Bypassing PatchGuard on Windows x64. Uninformed. Archived from the original on 17 August 2016. Retrieved 20 September 2007.
  3. ^ a b c Samenuk, George (28 September 2006). "Microsoft Increasing Security Risk with Vista". McAfee. Retrieved 8 July 2013.
  4. ^ a b Gewirtz, David (2006). "The great Windows Vista antivirus war". OutlookPower. Archived from the original on 1 February 2013. Retrieved 8 July 2013. "시스템은 이미 취약합니다.사람들은 이미 PatchGuard를 해킹했다.어떤 일이 있어도 시스템은 이미 취약합니다.PatchGuard는 혁신에 냉담한 영향을 미칩니다.나쁜 놈들은 항상 혁신할 거야마이크로소프트는 보안 업계의 손을 묶어서 그들이 혁신을 할 수 없도록 해서는 안 됩니다.악당들의 혁신이 우려됩니다." — Symantec의 기업 커뮤니케이션 팀 매니저, Cris Paden
  5. ^ a b c d e f g Skywing (September 2007). "Introduction". PatchGuard Reloaded: A Brief Analysis of PatchGuard Version 3. Uninformed. Archived from the original on 3 March 2016. Retrieved 20 September 2007.
  6. ^ a b Schofield, Jack (28 September 2006). "Antivirus vendors raise threats over Vista in Europe". The Guardian. Retrieved 20 September 2007. "이것은 지금까지 지원된 적도 없고, 델의 승인을 받은 적도 없습니다.보안, 불안정성 및 퍼포먼스 문제가 발생하며 커널에서 무언가를 변경할 때마다 제품이 파손됩니다." — Microsoft 보안 테크놀로지 유닛의 기업 부사장 Ben Pathi
  7. ^ a b c "Patching Policy for x64-Based Systems". Microsoft. 22 January 2007. Retrieved 20 September 2007.
  8. ^ skape; Skywing (December 2005). "System Images". Bypassing PatchGuard on Windows x64. Uninformed. Archived from the original on 17 August 2016. Retrieved 21 September 2007.
  9. ^ a b Skywing (January 2007). "Conclusion". Subverting PatchGuard Version 2. Uninformed. Archived from the original on 4 March 2016. Retrieved 21 September 2007.
  10. ^ Skywing (December 2006). "Misleading Symbol Names". Subverting PatchGuard Version 2. Uninformed. Archived from the original on 3 March 2016. Retrieved 20 September 2007.
  11. ^ a b Microsoft (June 2006). "Update to Improve Kernel Patch Protection". Microsoft Security Advisory (914784). Microsoft. Retrieved 21 September 2007.
  12. ^ a b Microsoft (August 2007). "Update to Improve Kernel Patch Protection". Microsoft Security Advisory (932596). Microsoft. Retrieved 21 September 2007.
  13. ^ a b Field, Scott (11 August 2006). "An Introduction to Kernel Patch Protection". Windows Vista Security blog. Microsoft. Retrieved 30 November 2006.
  14. ^ a b Allchin, Jim (20 October 2006). "Microsoft executive clarifies recent market confusion about Windows Vista Security". Microsoft. Retrieved 30 November 2006.
  15. ^ Skywing (June 2006). "Patching non-exported, non-system-service kernel functions". What Were They Thinking? Anti-Virus Software Gone Wrong. Uninformed. Retrieved 21 September 2007.
  16. ^ Montalbano, Elizabeth (6 October 2006). "McAfee Cries Foul over Vista Security Features". PC World. Archived from the original on 5 April 2007. Retrieved 30 November 2006.
  17. ^ "Symantec AntiVirus Corporate Edition: System Requirements". Symantec. 2006. Archived from the original on 15 May 2007. Retrieved 30 November 2006.
  18. ^ "Symantec Internet Security product page". Symantec. 2011. Retrieved 26 January 2011.
  19. ^ "High-performance threat protection for the next-generation of 64-bit computers". ESET. 2008-11-20. Archived from the original on 2008-11-20.
  20. ^ "Minimum System Requirements". Trend Micro USA. Retrieved 5 October 2007.
  21. ^ "AVG Anti-Virus and Internet Security - Supported Platforms". Grisoft. Archived from the original on 27 August 2007. Retrieved 5 October 2007.
  22. ^ Jaques, Robert (23 October 2006). "Symantec and McAfee 'should have prepared better' for Vista". vnunet.com. Archived from the original on 27 September 2007. Retrieved 30 November 2006.
  23. ^ McMillan, Robert (19 January 2007). "Researcher: PatchGuard hotfix stitches up benefit to Microsoft". InfoWorld. Retrieved 21 September 2007.
  24. ^ "Notable Changes in Windows Vista Service Pack 1". Microsoft. 2008. Archived from the original on 3 May 2008. Retrieved 20 March 2008.
  25. ^ skape; Skywing (1 December 2005). "Bypassing PatchGuard on Windows x64". Uninformed. Archived from the original on 1 August 2017. Retrieved 2 June 2008.
  26. ^ Skywing (December 2006). "Subverting PatchGuard Version 2". Uninformed. Retrieved 2 June 2008.
  27. ^ Skywing (September 2007). "PatchGuard Reloaded: A Brief Analysis of PatchGuard Version 3". Uninformed. Retrieved 2 June 2008.
  28. ^ Hines, Matt (25 October 2006). "Microsoft Decries Vista PatchGuard Hack". eWEEK. Retrieved 2 April 2016.
  29. ^ Gewirtz, David (2006). "The great Windows Vista antivirus war". OutlookPower. Archived from the original on 4 September 2007. Retrieved 30 November 2006.
  30. ^ Espiner, Tom (25 October 2006). "EC Vista antitrust concerns fleshed out". silicon.com. Archived from the original on 2 February 2007. Retrieved 30 November 2006.
  31. ^ Jones, Jeff (12 August 2006). "Windows Vista x64 Security – Pt 2 – Patchguard". Jeff Jones Security Blog. Microsoft. Archived from the original on 9 December 2008. Retrieved 11 March 2007.
  32. ^ White, Nick (14 November 2007). "Upgrade to Next Version of Windows Live OneCare Announced for All Subscribers". Windows Vista Team Blog. Microsoft. Archived from the original on 1 February 2008. Retrieved 14 November 2007.

외부 링크

Uninformed.org 기사:

작업 바이패스 접근법

Microsoft 보안 어드바이저리: