MiniFilter驱动程序-正确的实现和微软签名

Question

我正在做恶意软件分析。我使用微型筛选器驱动程序来拦截文件系统访问。然后，我应用算法来检测恶意活动。我的问题:它知道驱动程序需要微软的签名才能公开发布。https://docs.microsoft.com/fr-fr/windows-hardware/drivers/dashboard/attestation-signing-a-kernel-driver-for-public-release

它是否被授权在内核空间中作为AI实现算法，或者我必须在用户空间中实现它们？关于Microsoft、正确的体系结构和安全性，有什么建议？

Answer 1

如果你能实现一个Windows内核驱动程序，你就可以做任何你想做的事情。不仅仅是算法，我们还曾经将OpenSSL、SQLite和其他开源项目(当然是用C和C++)移植到我们的Windows内核驱动程序中。这不是什么不可能完成的任务。你只需要知道解决方法的方法和局限性。

微软驱动程序签名的想法是为了避免流氓驱动程序开发人员在内核中运行恶意软件。这是32位Windows很长一段时间以来最大的问题，因为在内核中，你不仅能够实现某些东西，而且你还可以滥用任何东西，包括内核变量、文件系统数据、注册表，甚至可以连接到任何你想要的代码(如果系统保护没有运行)。然而，这样的证书也不是完美的。几年前，黑客窃取了公司的证书(如果我没记错的话，是RealTek)，并给他们的恶意软件驱动程序签名。