Skip to content

Стартовање оперативног система (boot)

У оперативним системима Windows 10 и 11 значајно је унапређена заштита процеса стартовања система од малвера, а нарочито од руткита (rootkit). Руткит малвери раде у кернел режиму па самим тим имају исте привилегије као и оперативни систем. Креирају се тако да се учитају пре оперативног система и остану невидљиви током његовог рада. Радећи у позадини могу да избегну процес ауторизације и аутентификације, украду фајлове, забележе лозинке, притиске тастера на тастатури, критографске кључеве и сл. Различити руткитови покрећу се у различитим тренуцима стартовања оперативног система:

  • Фирмвер руткит (firmware rootkit) – уписује се у BIOS/UEFI и учитава пре учитавања оперативног система Windows.
  • Буткит (bootkit) – модификује bootloader оперативног система (софтвер који покреће учитавање оперативног система) тако да уређај прво учита руткит, па након тога оперативни систем.
  • Кернел руткит (kernel rootkit) – модификује део кернела оперативног система, тако да се руткит покреће аутоматски приликом стартовања система.
  • Драјвер руткит (driver rootkit) – представљају се као драјвери преко којих оперативни систем комуницира са харверским компонентама.

Заштита од руткита у свакој фази подизања оперативног система Windows 10 приказана је на слици:

Windows startup process
  • Secure Boot (безбедно стартовање оперативног система): спречава учитавање буткита на рачунарима који поседују UEFI (Unified Extensible Firmware Interface) и TPM (Trusted Platform Module). Secure Boot омогућује конфигурацију која дозвољава учитавање поузданих booloader-а, тј. bootloader-а који су потписани Microsoft сертификатом или оних које је корисник мануелно одобрио.
  • Trusted Boot (поуздано стартовање оперативног система): подразумева проверу интегритета сваке компоненте пре учитавања у процесу стартовања оперативног система.
  • ELAM – Early Launch Anti-Malware (рано покретање анти-малвера) проверава сваки поуздани (потписани) драјвер пре учитавања и не дозвољава учитавање непоузданих драјвера.
  • Measured Boot (мерљиво стартовање оперативног система): подразумева екстерну проверу логова које је креирао UEFI приликом процеса стартовања оперативног система. Логови се чувају у TPM-у и обично су то хеш вредности фирмвера, bootloader-а, драјвера и свега осталог што се учитало пре анти-малвер апликације.