2) Модули пространства ядра (данные одноименного диспетчера)

Модули пространства ядра – те драйвера и библиотеки, которые на момент исследования загружены в адресное пространство ядра операционной системы. В этой таблице отображаются

- имя и адрес модуля

- базовый адрес

- размер модуля в памяти

- описание

- производитель (копирайт)

Образец строки из протокола:

Зачем эта таблица?

Важно отличать данные Модулей пространства ядра от информации Менеджера служб и драйверов. Последний отображает те драйверы, которые существуют в системе по данным API или зарегистрированы в системном реестре, в то время как первый – компоненты, загруженные в ядро на момент исследования. Известен ряд как легитимных, так и вредоносных драйверов, которые при стандартном исследовании системы отображаются только в диспетчере Модули пространства ядра. Такие драйвера могут удаляться при выключении системы и вновь создаваться при последующем запуске, что, в частности, может осложнять их уничтожение через Boot Cleaner.

Можно провести приблизительную аналогию, сравнив Модули пространства ядра со списком процессов, а таблицу Менеджера служб и драйверов – со списком элементов автозагрузки.

Драйверы как компоненты ядра операционной системы являются, без преувеличения, одними из наиболее потенциально опасных ее элементов. Располагаясь глубже обычных приложений, драйверы могут оставаться недосягаемыми для них и свободно выполнять те или иные действия. Не случайно некоторые системы проактивной защиты предупреждают пользователя о том, что приложение, сумевшее установить драйвер, получает практически неограниченную свободу действий, а контроль над ним может быть потерян в любой момент.

В Windows XP драйвера разделяются на два уровня, соотносимые с архитектурными спецификациями процессора, - нулевое кольцо (ring0, оно же KernelMode) и третье кольцо (ring3, оно же UserMode). Схематически отобразить возможности взаимодействия драйверов колец и обычных приложений в виде вертикальной иерархии допустимо следующим образом:

К примеру: приложение в большинстве случаев не может оказывать воздействие на KernelMode драйвер; драйвер нулевого кольца может выполнять любые действия с приложением, объектом третьего кольца; два драйвера KernelMode равноправны и могут делать друг с другом что угодно.

Поэтому использование драйвера нулевого кольца является фактически обязательным требованием к антивирусному пакету или брандмауэру – иначе он может оказаться беспомощен перед вредоносным драйвером, расположенным на этом уровне. Драйвер KernelMode не гарантирует, что система защиты сможет справиться с инфекцией, но по крайней мере дает некоторую уверенность, что вредоносное ПО в большинстве случаев не сможет полностью скрыться от антивируса или брандмауэра. В частности, исход противодействия двух приложений, вооруженных и защищенных драйверами нулевого кольца, зависит обычно от того, какое из них более агрессивно: каждое из них может выгрузить другое, и вопрос лишь в том, кто сделает это первым. В противодействии же malware, не имеющему драйверов или еще не успевшему установиться в систему, драйвер KernelMode в подавляющем большинстве случаев позволяет системе защиты одержать верх – заблокировать вредоносный объект и успешно уничтожить его из недосягаемого для противника нулевого кольца.