Trong các giải pháp chống rootkit hiện tại, McAfee Deep Defender sử dụng một phương pháp hoàn khác và mới lạ so với những đối thủ, đó là tận dụng khả năng ảo hóa của vi xử lí để thực thi tác vụ. Nhờ vào khả năng này, McAfee có thể tải trình quản lí với công nghệ DeepSAFE lên trước cả khi hệ điều hành bắt đầu quá trình khởi động, giúp việc theo dõi thời gian thực những hành vi đáng ngờ trong hệ thống được chính xác hơn, nhất là với những con rootkit có khả năng ẩn mình vào bên trong nhân (kernel) của OS. Khi DeepSAFE phát hiện ra một mối nguy hiểm nào đó, nó sẽ liên lạc và thông báo cho Deep Defender biết để phần mềm này đưa ra những biện pháp xử lí thích hợp.Để có thể tận dụng được sức mạnh của CPU, McAfee đã hợp tác với Intel và tính đến thời điểm hiện tại, Deep Defender là công cụ duy nhất chống rootkit dựa trên nền vi xử lí. Thực chất, McAfee đã được Intel mua lại vào năm 2010 trong một thương vụ trị giá 7,68 tỉ USD, do đó việc cả hai bắt tay nhau là điều hoàn toàn có thể hiểu được.
Về quy trình hoạt động của Deep Defender, McAfee mô tả như sau: đầu tiên, DeepSAFE sẽ chạy lên ngay khi chúng ta vừa mở máy tính nhờ vào công nghệ Virualization Technology có trong các vi xử lí Intel Core i3/i5/i7. Trong quá trình tải hệ điều hành cũng như các driver boot cần thiết, DeepSAFE sẽ lại xuất hiện ở tầng thấp nhất (với quyền cao nhất) để theo dõi xem liệu có rootkit nào ẩn mình hay chạy lên không. Nếu có, DeepSAFE sẽ ngăn chặn con nó, đồng thời cho phép hệ thống tiếp tục tải lên những driver "lành tính" còn lại. Trong quá trình này, DeepSAFE hiện diện như một driver khởi động sớm (early-boot driver) và đã được áp dụng các kĩ thuật nhằm đảm bảo nó sẽ được tải lên đầu tiên, trước tất cả các driver khác của máy tính. Ở hình bên dưới, bạn có thể thấy phần DeepSAFE Loader/Agent nằm dưới (tức xuất hiện trước) mọi driver lẫn rootkit.
Tương tự như thế, DeepSAFE cũng sẽ vô hiệu hóa rootkit nếu nó hiện diện trong lúc nạp các loại driver ít quan trọng hơn. Cuối cùng, khi các ứng dụng và dịch vụ chạy lên, công cụ Deep Defender sẽ tiến hành loại bỏ những mối nguy hiểm đã được phát hiện. Deep Defender và DeepSAFE cũng có thể chặn các malware khác nếu chúng hoạt động ở cấp người dùng (ví dụ như các loại sâu hay virus bình thường).
Video minh họa hoạt động của McAfee DeepSAFE và Deep Defender
Deep Defender và DeepSAFE hoạt động "ngầm" giữa hệ điều hành và CPU nên sản phẩm này có thể chống lại các vụ tấn công khai thác lỗi phần cứng, bộ nhớ. Deep Defender còn có thể báo cáo, chặn, cách ly và loại bỏ hoàn toàn kernel-mode rootkit (tức các rootkit có khả năng thay đổi lõi - kernel - điều hành để ngụy trang thành phần mềm vô hại) ra khỏi hệ thống máy tính của chúng ta. Những rootkit có ý định chỉnh sửa kernel cũng sẽ bị phát hiện và loại bỏ ngay trước khi chúng có thể bắt đầu hoạt động. Những virus và các mối nguy hiểm khác cũng có thể được Deep Defender xử lí, loại bỏ.
Vì sở hữu khả năng theo dõi theo thời gian thực hoạt động của CPU và RAM, sản phẩm của McAfee có thể nhận ra những rootkit mới mà từ trước đến nay chưa xuất hiện bao giờ. Nhờ đó, các lỗi zero-day (những vấn đề mới được phát hiện lần đầu tiên) liên quan tới rootkit sẽ được hạn chế ở mức thấp nhất. Deep Defender còn có khả năng tích hợp với nền tảng quản lý tập trung McAfee ePolicy Orchestrator để giúp các doanh nghiệp tiết giảm chi phí khi cần giải quyết vấn đề bảo mật trên nhiều máy tính cá nhân của nhân viên.
Bên cạnh đó, khi nhận thấy một mối nguy hiểm mới, Deep Defender sẽ gửi dữ liệu và đoạn mã độc về cho các chuyên gia bảo mật của hãng xem xét, sau đó biện pháp khắc phục sẽ được cập nhật ngay đến phần mềm trên máy tính của tất cả người dùng. Mô hình hoạt động này được hãng gọi là "Global Threat Intelligence" (GTI). Vì quy trình này thu thập dữ liệu từ Deep Defender cũng như những giải pháp bảo mật khác của McAfee cài đặt ở các máy chủ, tường lửa lẫn máy tính cá nhân trên khắp toàn cầu, Deep Defender có khả năng phát hiện và biết cách xử lí một malware/rootkit nào đó ngay cả khi nó chưa xuất hiện trên máy của chúng ta.
Để hoạt động, Deep Defender yêu cầu hệ thống phải chạy trên vi xử lí Intel Core i3, i5 và i7 (tất cả các đời), sở hữu RAM ít nhất 2GB (32-bit) hoặc 4GB (64-bit). Hiện tại, Deep Defender hỗ trợ Windows 7, nhưng trong tương lai nhà sản xuất sẽ cập nhật sản phẩm của mình cho Windows 8. Ngoài ra, người dùng cũng cần phải bật tính năng ảo hóa (Intel Virtualizaion Technology - VT) trong thiết lập BIOS của máy tính. McAfee cho biết Deep Defender tương thích và chạy tốt với một số giải pháp bảo mật khác của họ, chẳng hạn như McAfee VirusScan Enterprise 8.7 trở lên, McAfee Application Control 5.x, McAfee Endpoint Encryption for PC (bản 5, 5.2.6, 5.2.9, 6.1), McAfee Host DLP 9.x, McAfee Host Intrusion Prevention 8.x, McAfee Network Access Control 3.2.
Xem thêm: Những thông tin cơ bản về rootkit, một loại phần mềm mã độc nguy hiểm