462
Kapitola 12 – Skenování paměti a dezinfekce
12.9 Shrnutí a budoucnost Skenování paměti a dezinfekce je v systémech založených na technologii NT velmi náročnou úlohou. Multitaskové a multithreadové prostředí je mnohem komplexnější (v porovnání s DOSem), takže většina virů určených pro Windows je rovněž obdobným způsobem komplexnější. S rostoucím počtem virů pro platformu Win32, musí svět antivirů čelit stále obtížnějším problémům. K nezbytné přípravě nyní patří detailní studium nastávajících virů pro Win32 a Win64. Skenování adresovacího prostoru na systémech IA64, AMD64 a EM64T je uskutečnitelné. Dezinfekce těchto systémů je ovšem podobná výzvám Válek kódů (Code Wars). Kromě jiných bezpečnostních prvků budou systémy Microsoftu NGSCB (Next Generation Computing Base) podporovat zapečetěnou paměť (seal memory), což budou speciální oblasti fyzické paměti. Je ovšem otázkou, kdy a v jakém OS bude tato implementace Microsoftem použita. Kvůli této nejistotě je tak detailní rozbor NGSCB mimo oblast této knihy. Pod NGSCB je hardware upraven takovým způsobem, aby mohl kód (používá se pojem Agent Nexus) běžet v chráněné oblasti paměti. Ideou je možnost ukrytí (tajných) informací před ostatními komponentami systému. Je obtížné nyní předpovědět, zda-li bude antivirový software schopen skenovat obsah paměti agentů Nexus (NCA) – tím by totiž mohl být porušen smysl této speciální oblasti paměti. Pokud však nemůže antivirový software skenovat tuto schovanou (zacloněnou) paměť, může této ochrany zneužívat libovolný škodlivý kód. Pokud by virus typu CodeRed mohl zneužívat NCA, pak nemůže být detekován v paměti. Toto nebezpečí se sice snižuje pomocí nespustitelných (NX, Nonexecutable) stránek, podporovaných moderními CPU, nemůže však být úplně vyvráceno. NCA kromě toho nemohou používat dodatečné DLL knihovny a jejich runtime tak může mít velmi omezenou funkčnost, která pravděpodobně nebude dostatečná k tomu, aby mohl útočník implementovat počítačového červa. Koncept NGSCB je ilustrován na obrázku 12.9.
Obrázek 12.9
Obecný koncept NGSCB, založený na předběžných informacích od Microsoftu.