Anti-virusbedrijven klaagden onlangs over een nieuwe beveiligingsmaatregel in Windows 8, maar volgens Microsoft is die kritiek onterecht. Onlangs vond er tijdens de Virus Bulletin conferentie, waar allerlei anti-virusbedrijven en onderzoekers lezingen geven, een lezing over de Early launch antimalware (ELAM) functie van Windows 8 plaats. De maatregel moet diep genestelde rootkits voorkomen. In Windows 8 laadt het besturingssysteem de Early Launch Anti-malware (ELAM) driver.
Deze driver start voor andere 'boot-start' drivers en zorgt ervoor dat deze drivers zijn te analyseren, waarna de Windows-kernel bepaalt of ze ook daadwerkelijk gestart worden. In het geval van een driver waar door malware mee geknoeid is, kan Windows die overslaan of aanpassen.
Kritiek
De maatregel zit sommige virusbestrijders niet lekker. "Het volgen van Microsoft's richtlijnen voor ELAM om huidige rootkit-dreigingen te bestrijden, is hetzelfde als het vechten met je handen op je rug", zegt Prakash Jagdale van Quick Heal Technologies. Volgens de virusbestrijder is Microsoft met ELAM veel te laat. "We moeten nog maar zien of anti-virusbedrijven er echt gebruik van kunnen maken."
Volgens Peter Ferrie van het Microsoft Malware Protection Center is het doel van ELAM het uitvoeren van black- en/of whitelisting van drivers totdat de virusscanner als onderdeel van het opstartproces is geladen. "Op dat moment kan de virusscanner het overnemen en een uitgebreide scan van alles dat daarna wordt geladen, alsmede van alles dat ervoor is geladen wat de ELAM-driver niet kon classificeren",
Aanpassing
ELAM zou een overzicht van niet herkende drivers maken en die naar de virusscanner doorsturen. De virusscanner kan vervolgens bepalen of de geladen driver of drivers geen rootkit bevatten. Anti-virusbedrijven klagen dat ze door ELAM zelf geen diepe scan van het systeem kunnen uitvoeren.
"ELAM is niet bedoeld voor het uitvoeren van diepe scans", merkt Ferrie op. "Elke suggestie dat het hiervoor zou moeten worden aangepast schiet z'n doel voorbij."
Deze posting is gelocked. Reageren is niet meer mogelijk.