Tham dự Tech Lounge

Tham dự Tech Lounge


Tìm hiểu về McAfee Deep Defender: giải pháp chống rootkit nạp trước hệ điều hành

Duy Luân
4/12/2012 0:15Phản hồi: 67
Tìm hiểu về McAfee Deep Defender: giải pháp chống rootkit nạp trước hệ điều hành
McAfee-Releases-Deep-Defender-and-Deep-Command-as-Extensions-to-ePO-2.png
Trong các giải pháp chống rootkit hiện tại, McAfee Deep Defender sử dụng một phương pháp hoàn khác và mới lạ so với những đối thủ, đó là tận dụng khả năng ảo hóa của vi xử lí để thực thi tác vụ. Nhờ vào khả năng này, McAfee có thể tải trình quản lí với công nghệ DeepSAFE lên trước cả khi hệ điều hành bắt đầu quá trình khởi động, giúp việc theo dõi thời gian thực những hành vi đáng ngờ trong hệ thống được chính xác hơn, nhất là với những con rootkit có khả năng ẩn mình vào bên trong nhân (kernel) của OS. Khi DeepSAFE phát hiện ra một mối nguy hiểm nào đó, nó sẽ liên lạc và thông báo cho Deep Defender biết để phần mềm này đưa ra những biện pháp xử lí thích hợp.

Để có thể tận dụng được sức mạnh của CPU, McAfee đã hợp tác với Intel và tính đến thời điểm hiện tại, Deep Defender là công cụ duy nhất chống rootkit dựa trên nền vi xử lí. Thực chất, McAfee đã được Intel mua lại vào năm 2010 trong một thương vụ trị giá 7,68 tỉ USD, do đó việc cả hai bắt tay nhau là điều hoàn toàn có thể hiểu được.

Về quy trình hoạt động của Deep Defender, McAfee mô tả như sau: đầu tiên, DeepSAFE sẽ chạy lên ngay khi chúng ta vừa mở máy tính nhờ vào công nghệ Virualization Technology có trong các vi xử lí Intel Core i3/i5/i7. Trong quá trình tải hệ điều hành cũng như các driver boot cần thiết, DeepSAFE sẽ lại xuất hiện ở tầng thấp nhất (với quyền cao nhất) để theo dõi xem liệu có rootkit nào ẩn mình hay chạy lên không. Nếu có, DeepSAFE sẽ ngăn chặn con nó, đồng thời cho phép hệ thống tiếp tục tải lên những driver "lành tính" còn lại. Trong quá trình này, DeepSAFE hiện diện như một driver khởi động sớm (early-boot driver) và đã được áp dụng các kĩ thuật nhằm đảm bảo nó sẽ được tải lên đầu tiên, trước tất cả các driver khác của máy tính. Ở hình bên dưới, bạn có thể thấy phần DeepSAFE Loader/Agent nằm dưới (tức xuất hiện trước) mọi driver lẫn rootkit.

Slide05.jpg

Tương tự như thế, DeepSAFE cũng sẽ vô hiệu hóa rootkit nếu nó hiện diện trong lúc nạp các loại driver ít quan trọng hơn. Cuối cùng, khi các ứng dụng và dịch vụ chạy lên, công cụ Deep Defender sẽ tiến hành loại bỏ những mối nguy hiểm đã được phát hiện. Deep Defender và DeepSAFE cũng có thể chặn các malware khác nếu chúng hoạt động ở cấp người dùng (ví dụ như các loại sâu hay virus bình thường).

Video minh họa hoạt động của McAfee DeepSAFE và Deep Defender


Deep Defender và DeepSAFE hoạt động "ngầm" giữa hệ điều hành và CPU nên sản phẩm này có thể chống lại các vụ tấn công khai thác lỗi phần cứng, bộ nhớ. Deep Defender còn có thể báo cáo, chặn, cách ly và loại bỏ hoàn toàn kernel-mode rootkit (tức các rootkit có khả năng thay đổi lõi - kernel - điều hành để ngụy trang thành phần mềm vô hại) ra khỏi hệ thống máy tính của chúng ta. Những rootkit có ý định chỉnh sửa kernel cũng sẽ bị phát hiện và loại bỏ ngay trước khi chúng có thể bắt đầu hoạt động. Những virus và các mối nguy hiểm khác cũng có thể được Deep Defender xử lí, loại bỏ.

done.png


Vì sở hữu khả năng theo dõi theo thời gian thực hoạt động của CPU và RAM, sản phẩm của McAfee có thể nhận ra những rootkit mới mà từ trước đến nay chưa xuất hiện bao giờ. Nhờ đó, các lỗi zero-day (những vấn đề mới được phát hiện lần đầu tiên) liên quan tới rootkit sẽ được hạn chế ở mức thấp nhất. Deep Defender còn có khả năng tích hợp với nền tảng quản lý tập trung McAfee ePolicy Orchestrator để giúp các doanh nghiệp tiết giảm chi phí khi cần giải quyết vấn đề bảo mật trên nhiều máy tính cá nhân của nhân viên.

Bên cạnh đó, khi nhận thấy một mối nguy hiểm mới, Deep Defender sẽ gửi dữ liệu và đoạn mã độc về cho các chuyên gia bảo mật của hãng xem xét, sau đó biện pháp khắc phục sẽ được cập nhật ngay đến phần mềm trên máy tính của tất cả người dùng. Mô hình hoạt động này được hãng gọi là "Global Threat Intelligence" (GTI). Vì quy trình này thu thập dữ liệu từ Deep Defender cũng như những giải pháp bảo mật khác của McAfee cài đặt ở các máy chủ, tường lửa lẫn máy tính cá nhân trên khắp toàn cầu, Deep Defender có khả năng phát hiện và biết cách xử lí một malware/rootkit nào đó ngay cả khi nó chưa xuất hiện trên máy của chúng ta.

Slide06.jpg

Để hoạt động, Deep Defender yêu cầu hệ thống phải chạy trên vi xử lí Intel Core i3, i5 và i7 (tất cả các đời), sở hữu RAM ít nhất 2GB (32-bit) hoặc 4GB (64-bit). Hiện tại, Deep Defender hỗ trợ Windows 7, nhưng trong tương lai nhà sản xuất sẽ cập nhật sản phẩm của mình cho Windows 8. Ngoài ra, người dùng cũng cần phải bật tính năng ảo hóa (Intel Virtualizaion Technology - VT) trong thiết lập BIOS của máy tính. McAfee cho biết Deep Defender tương thích và chạy tốt với một số giải pháp bảo mật khác của họ, chẳng hạn như McAfee VirusScan Enterprise 8.7 trở lên, McAfee Application Control 5.x, McAfee Endpoint Encryption for PC (bản 5, 5.2.6, 5.2.9, 6.1), McAfee Host DLP 9.x, McAfee Host Intrusion Prevention 8.x, McAfee Network Access Control 3.2.

Xem thêm: Những thông tin cơ bản về rootkit, một loại phần mềm mã độc nguy hiểm
67 bình luận
Chia sẻ

Xu hướng

Cây dù đỏ cũng chơi được rookit vậy, miễn phí nữa xài lâu nay rất tốt chỉ mỗi tội hơi bị nặng máy
@phaikodo 😁 chúc mừng #2 nhé haha! à mà cái mc này tui chả thấy khoái có vẻ chả làm được gì
oldman20
TÍCH CỰC
11 năm
@sonlazio Đọc cái nâu này của đòng chí xong mà chán luôn😕
@CườngCon CộccằnCaucó Xem lại đi em trai, McAfee la giải pháp chuyên cho Enterprise số một thế giới chứ không phải như mấy cái sản phẩm linh tinh BKAV, KAS, AVIRA gì gì đâu.
@taulua07 chắc do cài free nên thế! lúc trước nó cài kèm pm gì đó thấy chả làm được gì
Intel gian thấy nội😆 tự nhiên chỉ cho công ty con chơi trò này😔
tốt vậy thì cái nay co free ko ta
nghe nói CEO của McAfee bị bắt rồi o_O
@QXPro mình cũng nhớ đọc tin này, dạy mà vẫn update ta,mà hình như là mới truy đủi chưa bădt dc sao á
@bbboypro cah đó là sáng lập, vei61t chương trình . nhưng bán cổ phần ra đi gần 10 năm rồi
cuong642
TÍCH CỰC
11 năm
ko biết có ảnh hưởng tới quá trình khởi động không?
cha sáng lập cái này chạy vượt biên rồi! hây!
pvtq9
TÍCH CỰC
11 năm
không biết bkav có diệt được rootkit không? máy chủ công ty và các máy nhân viên đều dùng bkav hết
@zinzinzu xài NIS 2013 đi , tôi vài gần 2 năm nay rất nhẹ có chậm máy gì đâu , diệt mạnh và an toàn nữa, hơn cả KIS
zinzinzu
ĐẠI BÀNG
11 năm
@harrypham89 nó thuộc về thói quen bác ợ! khó đổi lắm
phải mất rất nhiều thời gian em mới có quyết định dùng win 64 bit (mới mua đã nâng 4gb ram). Rồi rất nhiều thời gian nữa mới thử win 8. hị hị
nó kiểu vừa ngại vừa lười. với cả mới lại mất time làm quen
Opera Voz
TÍCH CỰC
11 năm
@harrypham89 Em cũng dùng lâu rồi và cũng chẳng muốn bỏ!
@zinzinzu KIS thì nặng vãi đạn có tiếng rồi bác ơi, hehe
Cơ mà thật sự em Norton ngon hơn bác ạ, từ nào giờ mình toàn xài Norton cho cả máy tính và cả mobile, hehe, nhẹ nhàng và nhanh gọn
Cái này giống đóng băng ổ cứng dzị 😁
PentiumT
TÍCH CỰC
11 năm
@david-ginola Lạc đề một chút nhưng thật vui khi thấy cái nick bạn, hiếm lắm mới thấy người cùng hâm mộ Ginola :D
@PentiumT Hihi, một thời hâm mộ những năm 90 bạn à, đến giờ thật sự không còn những cầu thủ tài hoa và chơi thứ bóng đá nghệ thuật như vậy nữa
Nói thật lòng, đặt Messi hay Ronaldo bên cạnh David Ginola này để so sánh thì rất khập khiểng 😃
Like cho người có cùng thần tượng :D
hdtuan87
ĐẠI BÀNG
11 năm
nghe hay nhỉ nhưng chưa có cho win 8 thì chỉ hóng thôi
AMD FX như em thì nghỉ chơi với nó à :mad:
Mình không thích McAfee cho lắm
ôi. hết tháng này là hết bản quyền mà nó lại có chức năng mới. nản quá
autk08
TÍCH CỰC
11 năm
Đọc cho vui, chưa có lý do gì từ bỏ Kapersky 😁
mình người dùng bt hơi đâu hack nó hạck mình
cuthune
TÍCH CỰC
11 năm
avast cung co quet luc khoi dong nhung chac khong tinh vi bang mc vi la cong ty con intel ma
Opera Voz
TÍCH CỰC
11 năm
Rootkit thì hầu như phần mềm bảo mật nào chả diệt được, nhưng pm này có thêm công nghệ mới thôi, như mấy phần mềm kia chạy trên nền HĐH nên chỉ khả dụng khi đã khởi động HĐH.
Chả trách Intel tung tiền mua hãng bảo mật này để tăng cường khả năng chống chọi với mã độc
N.E.M
CAO CẤP
11 năm
đại loại là hình như nó chép vào rom để có thể boot cùng bios ( không rõ là boot trước bios hay bios trước ) nhưng vấn đề là nếu như thế thì sau 1 thời gian database sẽ bị cũ và có khả năng không nhận diện được các loại rootkit đời mới
hamyty
CAO CẤP
11 năm
Hồi xưa hay dùng phần mềm diệt virus nhưng có nhiều phần mềm linh tinh nó củng vô tình xóa luôn, và ko cho cài lại luôn, thế là bửa nay, khỏi cài pm diệt virus gì hết, 1 tháng đi cài lại win 1 lần 😔

Xu hướng

Bài mới









  • Chịu trách nhiệm nội dung: Trần Mạnh Hiệp
  • © 2024 Công ty Cổ phần MXH Tinh Tế
  • Địa chỉ: Số 70 Bà Huyện Thanh Quan, P. Võ Thị Sáu, Quận 3, TPHCM
  • Số điện thoại: 02822460095
  • MST: 0313255119
  • Giấy phép thiết lập MXH số 11/GP-BTTTT, Ký ngày: 08/01/2019