Как сформировать белый список для загрузки OS Windows 10 / 2016+?

Question

[Dmitry]

День добрый,
подскажите как можно составить список доверенных файлов (самой ОС) и грузиться/работать по нему ?
Киньте статейки или кто делал поделитесь опытом.

Comments

[Dmitry]

John Smith, штука известная. Но если без него ? Он не все умеет отслеживать.

[Keffer]

Dmitry, Глупая и бесполезная задача.

Answer 1

[Karpion]

Поясните задачу - откуда вообще могут взяться файлы, которые нельзя загружать. И откуда загружать?

Answer 2

[Dmitry]

Скрипты, действия лиц, модификация файлов участвующих в работе ОС.
ОС как-то определяет что ей нужно в работе ?

Answer 3

[Максим Ярошевич]

Задача непонятна. Защита системных файлов есть в системе "из коробки" - зачем городить огород?

Comments

[Dmitry]

Встроенная покрывает не все, и ее можно обойти. В итоге у Вас выполняется что-то с приоритетом ядра.

Answer 4

[Алекс]

можно решить от Обратного - включить защиту на создание \ изменение исполняемых файлов на уровне драйвера . У StaffCounter DLP есть такая фича (платно). В таком случае на диске невозможно создавать \ копировать \ сохранять новые EXE DLL SYS OCX и т.д. все c PE header. (и винда перестает обновляться поскольку DLP модуль не разрешает записывать PE header ). В общем Новых бинарников не будет.
+ надо также "вырезать" PowerShell движок руками самому.

Теоретически , дропер может долго жить в памяти и пытаться сохранить на диск Пайлоад в Упакованном виде, и только скрипт какойто его сможет запустить. Ну либо если это новый вид малвари которая работает исключительно в памяти - в таком случае вариантов защиты путем обеспечения Целостности ОС\Файлов пока нет.
Поправте меня если я что-то упустил).

Comments

[Dmitry]

Вырезать пошек это не хочется. И да Вы скорее всего правы.
Если бы был список эталонов, то можно было делать сверку и если есть разница принимать решение.