Windows|你的电脑正在被破坏！“自带易受攻击的驱动程序”，Widows电脑系铃解铃恶意软件|网络安全

数字安全是一个持续的猫捉老鼠游戏，发现新漏洞的速度与修复旧问题的速度一样快。最近， “自带易受攻击的驱动程序”攻击正成为Windows PC的一个复杂问题。

Windows
大多数Windows驱动程序都是为与特定硬件交互而设计的——例如，如果你从Logitech购买了一个耳机并将其插入， Windows可能会自动安装Logitech制作的驱动程序。然而，在Windows内核级别有许多驱动程序不用于与外部设备通信。一些用于调试低级系统调用，近年来，许多PC游戏已开始将其作为反作弊软件安装。

打击外挂
默认情况下， Windows不允许运行未签名的内核模式驱动程序，从64位Windows Vista开始，这大大减少了可以访问整个电脑的恶意软件数量。这导致“自带易受攻击的驱动程序”漏洞（简称BYOVD）越来越流行，它利用现有的签名驱动程序，而不是加载新的未签名驱动程序。

Windows Vista
那么，这是如何工作的呢？嗯，它涉及恶意软件程序查找Windows PC上已经存在的易受攻击的驱动程序。该漏洞查找不验证对模型特定寄存器（MSR）的调用的签名驱动程序，然后利用该漏洞通过受损驱动程序与Windows内核交互（或使用它加载未签名的驱动程序）。用现实生活中的类比来说，这就像病毒或寄生虫如何利用宿主有机体进行传播，但在这种情况下，宿主是另一个驱动因素。

打击非法恶意程序
该漏洞已被恶意软件在野外使用。 ESET研究人员发现，一个昵称为“InvisiMole”的恶意程序在Almico的“SpeedFan”实用程序的驱动程序中使用BYOVD漏洞加载恶意的未签名驱动程序。视频游戏发行商Capcom还发布了一些带有反作弊驱动程序的游戏，这些游戏很容易被劫持。

Capcom
2018年以来，微软对臭名昭著的熔毁和Spectre安全漏洞的软件缓解措施也阻止了一些BYOVD攻击，而英特尔和AMD最近在x86处理器上的其他改进也弥补了一些差距。然而，并不是每个人都有最新的电脑或最新的Windows全补丁版本，因此使用BYOVD的恶意软件仍然是一个持续存在的问题。这些攻击也极其复杂，因此使用Windows中当前的驱动程序模型很难完全缓解它们。

intel
【Windows|你的电脑正在被破坏！“自带易受攻击的驱动程序”，Widows电脑系铃解铃】保护自己免受任何恶意软件（包括未来发现的BYOVD漏洞）攻击的最佳方法是在电脑上启用Windows Defender ，并允许Windows在发布安全更新时安装。第三方防病毒软件也可能提供额外的保护，但内置的Defender通常就足够了。今天的内容就分享到这里了，大家有什么想法可以在评论区给小编留言。更多科技咨询尽在科技译站！请持续关注蟹家之宝树！