Empêcher , comprendre comment patcher le noyau Windows

TAATJENE

Le noyau Windows est l'interface du gestionnaire d'objets pour accéder aux composants matériels.
Le noyau de Windows NT est le seul composant de Windows NT à avoir accès directement aux composants matériels suivants de la HAL :

• DMA (Accès direct mémoire)
• bus mapping
• Horloge et timer
• Gestion des interruptions
• Privileged Architecture

Pour la gestion des entrées/sorties (disques et autres...) et de l'interface graphique GDI, il existe d'autres composants qui font un accès direct à la HAL : ce sont les pilotes en mode noyau (KMD : Kernel Mode Drivers) qui respectent le modèle WDM (Windows Driver Model)
Le gestionnaire d'objets a accès à la base de registre de Windows.
Le paramétrage du noyau est fait

• par les switch de boot, voir boot.ini, le fichier de configuration de l'amorçage
• par la base de registre (voir gestionnaire de session et les autres composants de base de Windows)

es versions 64 bits de Windows (XP, 2003 et Vista) ont un composant PatchGuard dont le but est de protéger le noyau contre toute forme de modification (i.e. un patch) et donc de rendre Windows moins vulnérable à l'introduction d'un rootkit (une porte dérobée). L'introduction de ce composant pose des problèmes aux éditeurs d'anti-virus. Dans l'état actuel de Vista (janvier 2007), l'API fournie par Microsoft n'est pas assez complète pour les besoins spécifiques des éditeurs d'anti-virus. BY TAATJENE