Em driver что это: Emdrive — Википедия – Intel ME driver что это за программа?

Intel ME driver что это за программа?

Intel ME driver — не программа, а драйвер для работы аппаратных датчиков. Например скорость вращения вентилятора. Также возможно необходим для разгона процессора — у некоторых пользователей выскакивала ошибка Please install intel ME driver to enable CPU overclock, что означает установите драйвер Intel ME для включения опции разгона процессора.

На заметку. Как правило, подобные драйвера устанавливаются автоматически при помощи центра обновлений Windows. Вручную стоит устанавливать только при возникновении проблем. Отсутствие драйвера не вызовет критических ошибок, однако Интел рекомендует все таки устанавливать.

Полное название — Intel Management Engine

Удалось выяснить — драйвер нужен для подсистемы, которая встроенная почти во все чипсеты процессоров Intel с 2008 года. Подсистема состоит из:

  1. Прошивки. Микропрограмма, в которой заложен принцип работы устройства. При необходимости прошивку можно обновить.
  2. Микропроцессор. Само устройство, работающее только при наличии прошивки.

Management Engine функционирует всегда, даже когда ПК выключен — в таком случае источником энергии служит:

  1. Батарейка CMOS.
  2. В ноутбуке дополнительно — аккумулятор.

Сама компания Интел заявляет — подсистема ME необходима для максимальной производительности. При этом принцип работы нигде не описан, а исходный код закодирован.

Компания AMD также создала свою технологию в 2013 году — AMD Secure Technology (ранее называлась Platform Security Proccessor).

Не стоит путать технологию ME с AMT, которая хоть и основана на ME, но доступна только для процессоров с технологией vPro. При помощи AMT можно удаленно включать ПК или выключать, и даже устанавливать операционку.

Интересно — ME отключить никак нельзя в отличии AMT.

В теории, возможно что отказ от установки драйверов ME может отключить технологию, либо ограничить ее работу.

Оказывается, что ME отключить нельзя. Без этой технологии процессор НЕ сможет загрузиться. Все существующие методы отключения максимум что могут сделать — заставить технологию неправильно работать после включения. В таком состоянии функции не выполняются, однако встроенный микропроцессор дальше продолжает работать.

Все способы отключения не приветствуются и являются потенциально опасными.

Некоторые производители ноутбуков решили попробовать отключить ME. Так как корректного отключения все равно нет, то все это несет сомнительную пользу.

Интересно, но в некоторых современных биосах под материнки AMD уже есть опция отключения AMD Secure Technology (аналог Intel ME).

Intel Management Engine Components (IMEC)

Данное ПО устанавливает необходимые для корректной работы компоненты:

Состав IMEC
Компонент Краткое описание
Management Engine Interface Для работы интерфейса ME.
Dynamic Application Loader Предположительно работает под процессом jhi_service.exe. Вроде технология защиты, представляет базовые службы связи. Необходима для обеспечения аппаратного решения безопасности.
Identity Protection Technology (IPT) Комплект технологий для проверки подлинности онлайн-доступа. Обеспечивает надежный уровень безопасности на предприятиях и веб-сайтах. В некотором смысле является альтернативной SMS аутентификации. Также включает в себя Intel Authenticate и Protected Transaction Display (PTD).
Manageability Engine Firmware Recovery Agent Работает предположительно под процессом updateui.exe, который запускается из:

C:\Program Files (x86)\Intel\Intel(R) Update Manager\bin

Данный компонент позволяет выполнять критические обновления безопасности микропроцессора. Вероятно имеется ввиду обновление прошивки ME.

Local Management Service Работает под процессом LMS.exe, запускается из:

C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\

Компонент представляет из себя службу локального управления. Имеет отношение к безопасности судя по полному названию — Management and Security Application Local Management Service. На офф сайте также указано название Intel Serial Over LAN.

User Notification Service Работает под процессом UNS.exe, полное название — Active Management Technology User Notification Service. Судя по названию — возможно отвечает за показ уведомлений. Представляет из себя службу.

Настройка в биосе — ME General Settings

Настройка ME General Settings предположительно может находиться в разделе MEBx Login. Содержит главные настройки ME, одна из которых — Change ME Password, служит для смены пароля удаленного управления (по умолчанию пароль admin).

Возможно данная настройка находится не в биосе, а в меню конфигурации Intel vPro.

На заметку. vPro — технология, позволяющая удаленно управлять ПК. Подразумевается в том числе и выключение, включение, открытие настроек биоса. В основе vPro выступают две технологии — удаленное управление мониторинга (Intel Active Management Technology, AMT) и виртуализация (Intel Virtualization Technology, VT)

Вывод

Исходя из всей вышеприведенной информации можно сделать вывод — пытаться отключить Intel ME нет смысла, официальных способов нет.

Отсутствие драйвера скорее всего не вызовет никаких критических проблем в работе Windows. Однако установить его все таки стоит, хотя бы из-за рекомендации Intel.

Учтите, что без ME у вас могут быть проблем с автоматической регулировкой оборотов вентилятора. В разгоне процессора также могут быть проблемы. Возможно драйвер имеет отношение к автоматическому сбросу частоты процессора в простое.

На главную!

11.12.2018

404 — Страница не найдена

404 — Страница не найдена

  • Станки ЧПУ
  • Лазерные станки с ЧПУ
  • Токарные станки
  • Круглофрезерный станок
  • Лазерно-гравировальные станки
  • Станок плазменной резки
  • Многошпиндельные станки
  • Станок для обработки пенопласта
  • 3D Принтеры
  • Покрасочный станок
  • Комплектующие к ЧПУ
  • Комплектующие для лазерных станков
  • Готовые модули
  • Режущий инструмент
  • Фрезы ARDEN для ручных и ЧПУ фрезеров
    • Фрезы пазовые прямые
    • Фрезы для выравнивания поверхности
    • Фрезы V-образные
    • Фрезы кромочные прямые
    • Фрезы для врезания петель и замков
    • Фрезы пазовые галтельные
    • Фрезы радиусные полукруглые
    • Фрезы «Ласточкин хвост»
    • Фрезы пазовые
    • Фрезы четвертные
    • Фрезы профильные
      • Фреза «Гусёк» (псевдофилёнка), 222 серия
      • Фрезы «Гусёк» 210 серия
      • Фрезы «Тройной внешний радиус», 323 серия
      • Фрезы «Декоративный гусёк» 212 серия
      • Фрезы «Классический узор», 211 серия
      • Фрезы «Тройной внутренний радиус», 324 серия
      • Фрезы «Шар» 208 серия
      • Фрезы Бычий нос «Катушка», 330 серия
      • Фрезы внешнее и внутреннее скругление 2 в 1
      • Фрезы для скругления удлиненные
      • Фрезы мультипрофильные (Карниз), 351 серия
      • Фрезы овальное скругление (Жалюзи)
      • Фрезы превсофиленка «Волна-1»
      • Фрезы профильные «Ручка» 502 серии
      • Фрезы профильные «Углубленный шар», 329 серия
      • Фрезы профильные «Французская классика», 352 серия
      • Фрезы профильные для плинтусов, 403 серия
      • Фрезы фигурные «Классический гусёк», 311 серия
      • Фрезы филёночные, 416 серия
    • Фрезы для сращивания и мебельной обвязки
    • Комплектующие к фрезам ARDEN
    • Набор радиальных и фасочных фрез
  • Комплектующие для плазменной резки
  • Пневматическое оборудование
  • Дисковые пилы
  • Оборудование для покраски

E-Driver что это за программа и нужна ли она?

Всем привет и еще раз привет! Ну как ваши там дела? Все нормалек? Надеюсь что да! Итак, сегодня я буду узнавать что за программа скрывается под названием E-Driver! Я о такой раньше не слышал, надеюсь это никакой не вирус и не опасная прога..

Значит ребята, что я могу сказать. У нас обломаха! Ибо инфы о проге E-Driver в интернете вообшэ нет! Даже не знаю что вам сказать, сам в шоке! Пока я понял только одно, что это программа видимо как-то связана с драйверами, ну если судить по названию.

Итак ребята, вот инфы нет вообще, как понять нужная программа E-Driver или нет? Хм, а прикол хотите? А вам не кажется странным тот факт, что ИНФЫ ВООБЩЕ НЕТ В ИНТЕРНЕТЕ? Это оч подозрительно, согласны? Странная программа о которой вообще нет инфы в интернете, не вирус ли это реально? Я думаю что вы согласитесь, это все как-то немного странновато!

Единственное что я еще находил в сети, ну как находил, МНЕ ПОКАЗАЛОСЬ, что прога E-Driver имеет отношение к компании Asus и возможно что это фирменный софт. Но это только мои предположения ребята!.

Итак ребята, в сети можно найти такую картинку, это ASUS Easy Update и это не то что мы ищем:

Еще я нашел такую картинку, она в ужасном качестве. Программа как я понимаю имеет в своем названии DRIVER, но что именно за программа я не знаю, и вряд ли это E-Driver, ну смотрите сами:

Я думаю что вы понимаете, что это все не то, что нам нужно.. ОДНАКО Я КОЕ ЧТО ВСЕ ТАКИ РАСКОПАЛ… нашел я вот такую картинку:

Видите тут вверху есть такой значок, вернее ярлык e-Driver? Видимо это именно то, что мы ищем! Ну и что это все таки за программа? Все что я смог узнать, это то, что e-Driver является типа предустановленным софтом, который может быть установлен на ноутбук ASUS. То есть это фирменный софт. Программа e-Driver вроде как идет установленной уже в ноутбук Asus U33Jc, наверно и на других некоторых моделях тоже может быть эта прога. Что такое предустановленная? Ну это когда вы купили ноут, на котором уже установлена винда. Пришли домой, включили, и тут опачки, а у вас уже стоят какие-то непонятные программы….

Еще у вас могут быть установлены такие программы как AI Recovery Burner, ASUS MultiFrame, ControlDeck, eManual и другие, это все фирменный/дополнительный софт. Производители его ставят чтобы типа расширить функциональность ноутбука, хотя многим юзерам этот софт вообще не нужен.. =)

Так что делать, удалять прогу e-Driver или нет? Честно говоря не знаю, потому что я толком не могу понять для чего она! Но смотрите, если это какая-то обновлялка драйверов, то можно удалить. Но если посмотреть на значок программы, то это вроде бы что-то связанное с диском.. или может быть это вообще монтирование виртуального диска? Вы тут подумаете что за дичь это! Виртуальный диск это просто создание виртуального ненастоящего дисковода, чтобы можно было туда поставить виртуальный диск! А вот сами диски можно сказать в интернете, ну вы поняли для чего нужен виртуальный дисковод? Но блин, я совсем не утверждаю что e-Driver это виртуальный диск!!! Просто это мое предположение, ну а вдруг так оно и есть на самом деле то…

В нашей ситуации, когда мы ничего не знаем о программе e-Driver, то лучше ее оставить и не удалять, мало ли.. Просто не запускайте ее и она не будет никак влиять на производительность вашего ноутбука. Если прога просто установлена, но не запущена, то она не может грузить ноут, ну это просто вам на заметку.

Все ребятульки, на этом все, понимаю что инфы нет и я мало чем смог вам помочь, но надеюсь что хоть крохотная частичка того что я тут написал, для вас была полезной! Удачи ребята!

Intel TXE driver что это такое?

Всем привет Intel это большая компания, делает аппараты серьезные и качественные. Intel делает качественные процессоры, которые лучше чем AMD и поэтому дороже.. И непонятно почему AMD не может делать тоже качественные процы, хотя вроде бы чудо случилось и в 2017-том году вышли процессоры AMD Ryzen, которые якобы уже догнали Intel, а то и перегнали… Но это ребята уже совсем другая история…

Вернемся к Intel TXE driver, значит что это такое? Это одним словом сложно так взять и написать. Но инфу я все же раскопал. Короче это драйвер который отвечает за работу технологии Intel TXT (Trusted Execution Technology, технология доверенного выполнения). Скажу сразу что нет смысла эту технологию описывать, там так все сложно, что даже мне непонятно. Если в двух словах, то эта технология защищает комп от вирусов, если быть точнее, то что-то она там мутит и короче работающие проги типа защищены от вирусного внедрения. То есть эта технология как бы изолирует программы от небезопасного влияния. И все это реализовано на аппаратном уровне, ну а что бы работало, то понятное дело что нужен драйвер

Полное название технологии такое: Intel® TXE: Intel® Trusted Execution Engine driver, звучит круто, на деле непонятно как работает

У вас может быть такое, что в диспетчере устройств напротив Intel(R) Trusted Execution Engine Interface будет восклицательный значок, типа запуск этого устройства невозможен. Что делать в таком случае? На официальном сайте Intel написано, что перед установкой драйвера Intel TXE должна быть установлена такая штука как Microsoft Kernel-Mode Driver Framework (KMDF). Что это такое я увы не знаю, но установить стоит, это реально может решить проблему с восклицательным значком. Кстати чтобы вы не думали что это я сам придумал, то вот вам ссылка где об этом пишется, это официальный сайт Intel:

https://www.intel.ru/content/www/ru/ru/support/boards-and-kits/000005666.html

И еще, в принципе никакого особого значения этот драйвер не несет, ибо пока еще технология Intel TXE не особо популярна и как она работает толком никто не знает. Ну то есть знают программисты Intel, но вот обычные юзеры не знают как работает она и да и какого-то заметного эффекта я тоже думаю что никто не видел.. Вообще непонятно когда работает она, а когда нет. Но то что без нее можно обойтись это факт, главное иметь норм антивирус и не будет проблем

Вот нашел картинку, тут вроде идет процесс обновления драйверов, но какая-то ошибка случилась с установкой Intel(R) Trusted Execution Engine Interface:

А вот это ребята скриншот биоса и вроде это настройки данной технологии Intel TXE:

Честно говоря не знал что в биосе могут быть такие настройки! И самое интересное, что судя по оформлению биоса, то материнка эта совсем не из новых.. То есть Intel TXE уже как бы давно существует? А я думал что это какая-то новая технология…

Кстати, вот откопал еще картинку, и тут я понял что драйвер Intel TXE может быть установлен еще при помощи программы Intel Driver Update Utility:

Может быть такое что эта программа поможет исправить проблему с восклицательным знаком напротив устройства Intel(R) Trusted Execution Engine Interface

На этом все ребята, ибо реально инфы нет в интернете, ну ее оч мало. Самое разумное что нашел это ссылку на сайт Intel, я ее выше указал. Так что извините ребята, удачи вам

На главную!
Intel
29.06.2017

Что Такое Драйвер И Как Его Установить?

Неопытные пользователи ПК часто сталкиваются с вопросами установки драйверов: что это такое — драйвер? Зачем вообще нужен драйвер? Откуда взять и как устанавливать драйверы? И вообще, с чем, собственно, едят этот самый драйвер?

Что такое драйвер — простое объяснение

Компьютер — это целый набор устройств, а не один прибор. Каждое устройство, подключаемое к компьютеру — экран, клавиатура, принтер, видеокарта и любое другое нуждаются для своей работы в том, чтобы операционная система «понимала», что можно делать с таким устройством. Только что подключенный прибор пока неизвестен системе. Windows попросту не «понимает», что это за новый аппарат включили в её хозяйство.

Драйвер — это программа, которая позволяет операционной системе «общаться» с устройством. Своеобразный «переводчик», который способен разговаривать с Windows и объяснить системе, как использовать новое устройство. У каждого прибора свой драйвер. Для видеокарты нужен один «переводчик», для мышки — совсем другой.

вверх

Как устанавливать драйвер?

Для большинства устройств драйверы уже имеются в составе операционной системы. К примеру, при обнаружении новой флешки, Windows подаёт на неё электрический сигнал. Будто спрашивая: «А кто ты такая будешь?». В ответ флешка говорит: «Я — накопитель, который подключен через интерфейс USB, а чтобы общаться со мной, загрузи-ка ты себе драйвер № 15619, который находится в твоём архиве». За доли секунды Windows находит нужный файл, читает его, и узнаёт всю трудовую биографию флешки, используя все её возможности. Примерно так происходит установка драйверов.

Чем свежее версия Windows, тем больше шансов, что для вновь подключаемого устройства не нужно будет устанавливать отдельные драйвера — они найдутся в составе операционки. Например, Windows XP может сходу начать работу с подавляющим большинством флешек, а для древнейшей Windows 98 это почти неразрешимая задача. Windows 7 содержит в своём составе огромную коллекцию программ для работы с принтерами, сканерами, видеокартами и другой аппаратурой. А вот та же XP не столь хорошо распознаёт офисные приборы вроде оргтехники, «три в одном», сканеров, и прочего. Нет в её недрах такой крупной коллекции драйверов.

вверх

Что делать, если драйвер не устанавливается автоматически

Однако многие устройства неизвестны даже самым свежим версиям ОС. Ежедневно производители выпускают новые принтеры, более современные видеокарты. Даже привычные мышки «обрастают» огромным количеством необычных кнопок.

Если драйвер не устанавливается автоматически, то в таких случаях на экране появляется нелюбимая многими надпись: «Устройство установлено неправильно». Эта проблема легко решается — нужно установить необходимый драйвер. Вручную установить, ведь операционная система уже сообщила — в её коллекции нет подходящей программы-«переводчика» для работы с данным устройством.

вверх

Установка драйвера с диска

Для ручной установки драйвера, прежде всего, посмотрите в коробку, в которой вам продали устройство. Как правило, вместе с устройствами поставляются компакт-диски с записанными на них программами. Вставив диск в привод, ответьте на несколько простых вопросов системы, которые появятся в мастере нового оборудования, и драйвер установлен! А вопросы действительно несложные — на уровне:

  • Вы хотите установить драйвер сейчас?
  • Я хочу установить драйвер в папку C:/Windows/Drivers. Можно установить драйвер туда, или вы предложите другое место?
  • Наверное, после установки придётся перезагрузить компьютер. Вы разрешаете сделать это сейчас, или займёмся перезагрузкой позже?

вверх

Диск с драйверами отсутствует. Где взять драйвер?

Если устройство попало к вам без диска или он затерялся, то самую свежую версию драйвера всегда можно найти на сайте производителя и скачать её оттуда. Посмотрите на марку нового оборудования и поищите официальный сайт этой модели. Просто вводим в поисковик (Google или Яндекс) название фирмы и модели устройства.

Для примера попробуем установить драйвер для сетевого адаптера. Это внутренне устройство компьютера, разъём которого похож на телефонную «розетку», только чуть толще и крупнее. Туда вставляется сетевой кабель, и компьютер подключается к локальной сети. Кстати, этот способ установки драйвера подходит и для любого другого устройства — веб-камеры, мышки, модема. Просто вместо названия фирмы-производителя и модели следует подставлять то, что написано на вашем устройстве. А ещё лучше сразу сформулировать запрос, который приведёт нас на официальный сайт производителя. В нашем примере это будет «официальный сайт Ethernet controller Realtek».

Итак, компьютер обнаружил новое устройство. И не смог установить для него драйвер. Диска под рукой у нас нет.

Для начала откроем Диспетчер устройств. Это программа, показывающая все-все приборы, из которых состоит компьютер и которые к нему подключены. Вызывается Диспетчер устройств так — Щелчок правой кнопкой по значку «Компьютер», появится меню. В нём нужно выбрать самую нижнюю строку (Свойства), и щёлкнуть по ней левой кнопкой мыши.

В «Свойствах» нужно выбрать «Диспетчер устройств» (он же — Device manager в английской версии ОС).

Так выглядит Диспетчер устройств в Windows 7. Чуть по-другому он смотрится в Windows XP и в других версиях операционной системы, но суть остаётся одна и та же. Обратите внимание, что в самой нижней строке Диспетчера устройств выделен некий прибор под названием Ethernet Controller. Неустановленные устройства всегда выделяются знаком вопроса или восклицания слева от названия прибора. Это означает, что Windows пока толком не может работать именно с этим прибором.

Первый же ответ Яндекса приведёт нас на официальный сайт производителя. Обратите внимание, что на сайты вроде «Ответы@mail.ru обращать внимания не следует. Они не имеют никакого отношения к сайту производителя. Максимум, что там посоветуют — скачать какую-то левую программу с непонятными задачами. Из неизвестного источника, кстати. Всегда следует пользоваться исключительно официальными сайтами производителя оборудования.

На сайте обратите внимание  на разделы под названием «Техподдержка», «Драйверы и программное обеспечение», «Загрузка» и подобные. На англоязычных сайтах, как в нашем примере, ищите заголовки Download («Загрузка»), Support («Поддержка»), Drivers («Драйверы»). А в нашем примере сайт тайваньского производителя сетевых адаптеров Realtek уже предлагает выбрать самые популярные запросы пользователей — обратите внимание на нижний правый угол картинки. То, что нам и нужно было — драйвер «Realtek GBE Controller Driver». Щёлкаем по нему…

И выбираем нужную операционную систему. Это Windows 7, в случае нашего примера. Самая первая ссылка.

Открывается окно с предложением сохранить или запустить программу-драйвер. Лучше выбрать «Сохранить», ведь драйвер может пригодиться ещё когда-нибудь. Несколько минут (или секунд — всё зависит от скорости подключения к интернету) — и готово. Драйвер сохранён на вашем ПК.

Осталось лишь запустить его, щёлкнув по файлу драйвера дважды. Левой кнопкой, разумеется.

Появится окно установки драйвера. Несколько простейших вопросов…

И всё готово! Устройство под названием Сетевой адаптер успешно установлено. Оно готово к работе. Драйвер поставлен.

вверх

Напоследок о драйверах

Опытные пользователи предпочитают устанавливать драйверы  не с прилагаемого диска, а загружать самую новую версию с официального сайта — часто этот способ позволяет оборудованию работать быстрее, стабильнее, а иногда даже добавляет новые функции. Драйверы обновляются очень часто, поэтому лучше работать с самой свежей версией.

Наконец, можно попробовать установить драйвер в полуавтоматическом режиме. Используя не внутреннюю «коллекцию» драйверов Windows, а огромную библиотеку с сайта Microsoft. О такой установке драйвера читайте в следующей статье про драйверы.

И ещё. В современном компьютере сделать что-либо не так — очень сложная задача. Компьютер не испортится, не сломается, не перестанет загружаться. Установка драйверов лишь на первый взгляд кажется сложной задаче. Всё очень и очень просто. Нет никакой необходимости вызывать «компьютерщика» для этой цели. Установку драйвера можно сравнить с протиркой компьютера от пыли. Берём влажную тряпку, аккуратно протираем, и электронный друг семьи снова блещет чистотой. Несложно? Так и с драйвером. Поставить его самостоятельно очень просто. Ничего не бойтесь и смело пробуйте: теперь ответ на вопрос «как установить драйвер» полностью решён!

Успехов в экспериментах!

Опасные 3rd-party драйверы в вашей системе или LOLDrivers / Digital Security corporate blog / Habr

А вы знали, что вполне легитимный драйвер может дать злоумышленнику возможность прописаться в вашей системе надолго, оставаясь внутри даже после ее переустановки? Или превратить ваш компьютер в кирпич? Например, некоторые безобидные на вид доверенные (подписанные) драйверы являются попутно инструментами для перезаписи BIOS. После такой атаки спасет лишь программатор.

В ОC Windows существуют доверенные приложения/скрипты/библиотеки с дополнительной интересной опасной функциональностью вроде исполнения произвольного кода, загрузки файлов, обхода UAC и т.п. Если подобная дополнительная функциональность встречается у компонента ядра, становится еще интереснее.

Начиная с Windows Vista x64, действует политика Driver Signature Enforcement (DSE) – все драйверы уровня ядра должны быть подписаны. Если злоумышленник (с правами пользователя/администратора) после проникновения в систему жаждет получить максимальный уровень доступа (установить kernel rootkit/bootkit/SMM-rootkit/BIOS-rootkit), ему придется как-то обойти требование подписи для драйвера. Возможность вызова из юзермода некоторых функций или инструкций в режиме ядра может дать злоумышленнику инструмент для повышения привилегий, раскрытия информации или вызова отказа в обслуживании. Назовем такую функциональность функциональностью двойного назначения (в некоторых случаях подобное могут называть уязвимостями или бэкдорами, однако дискуссия на тему корректности определения выходит за рамки этой статьи).

Способы обхода DSE

Давайте рассмотрим, какие вообще варианты есть у злоумышленника для обхода DSE (надо же как-то проникнуть в ring0). В таблице ниже собраны способы обхода DSE с их преимуществами и недостатками (для злоумышленника, а безопасники принимают к сведению). Стоит отметить, что данная информация относится к Windows x64, начиная с Vista.

Как видно по таблице, подписанный драйвер с функциональностю двойного назначения является наиболее привлекательным для атакующего способом обхода DSE.

Опасная функциональность или функциональность двойного назначения

Рассмотрим примеры вредоносных возможностей, которые появляются у злоумышленника при наличии драйвера с опасными функциями двойного назначения.

  • Повышение привилегий до уровня администратора/SYSTEM. Требуется чтение/запись физической памяти. Данную атаку можно совершить, например, с помощью драйвера ASMMAP от ASUS. Для этого надо прочитать физическую память и найти структуру EPROCESS (она является элементом связного списка), после чего пройтись по списку в поисках процесса, чей уровень привилегий мы хотим повысить, а также некоторого известного процесса с уровнем SYSTEM (например, lsass, wininit). Затем скопировать значение поля Token структуры системного процесса в структуру целевого процесса. Более детальное описание атаки приведено здесь.
  • Отключение SMEP. Для этого нужна запись в управляющий регистр cr4 (точнее, сброс его 20-го бита). Например, драйвер bandainamcoonline.sys не только отключает SMEP, но и услужливо исполняет код по переданному в него от пользователя указателю. Для заинтересовавшихся есть статья с подробным описанием работы драйвера.
  • Исполнение произвольного кода в режиме ядра. Требуется чтение/запись физической памяти и MSR. Смысл заключается в замене адреса (находится в одном из MSR), на который будет осуществлен переход при совершении системного вызова, на адрес расположения кода злоумышленника. Тут можно найти больше информации об этом. Попутно будет мешать PatchGuard, но с ним при желании можно разобраться.

    Поскольку драйвер и PatchGuard оба выполняются в Ring 0, ничто не мешает драйверу отключить проверки PatchGuard (до тех пор, конечно, пока Microsoft не прислушается к Intel и не выйдет за рамки модели с двумя кольцами защиты). Разработчики ядра в Microsoft прекрасно осведомлены об этом факте и выполняют различные действия для скрытия расположения этого кода, обфускации его действий и используемых внутренних структур. Иными словами, из-за невозможности помешать вам модифицировать код PatchGuard они пытаются изо всех сил его скрыть.

    Blunden B. The Rootkit arsenal: Escape and evasion in the dark corners of the system.

    Оригинал

    Given that driver code and PatchGuard code both execute in Ring 0, there’s nothing to prevent a KMD from disabling PatchGuard checks (unless, of course, Microsoft takes a cue from Intel and moves beyond a two-ring privilege model). The kernel engineers at Microsoft are acutely aware of this fact and perform all sorts of programming acrobatics to obfuscate where the code resides, what it does, and the internal data-structures that it manipulates. In other words, they can’t keep you from modifying PatchGuard code, so they’re going to try like hell to hide it.

    Blunden B. The Rootkit arsenal: Escape and evasion in the dark corners of the system.

  • Запись BIOS. Пример in the wild – Lojax. Злоумышленники взяли всем известный RwDrv.sys и использовали его для своих грязных целей: прочитали BIOS, модифицировали и записали обратно. Переустановка Windows тут не поможет, так как вредоносный код сидит в прошивке на SPI-flash. Если же перезаписать BIOS неудачно (или специально затереть), то тоже будет неприятно. В любом случае придется сгонять за программатором для исправления досадных последствий.
  • Вызов SMI-обработчика. Во-первых, не все BIOS’ы одинаково беззащитны против кода в режиме ring0: есть различные механизмы защиты от чтения/записи, так что возможна ситуация, при которой понадобится лезть ниже – в режим SMM (самый привилегированный). Один из способов туда попасть из режима ядра – дернуть SMI-обработчик (довольно часто среди них встречаются уязвимые). Для вызова SMI-обработчика надо иметь возможность писать в I/O порт, а это можно сделать только с привилегиями ring0. То есть драйвер с возможностью записи в I/O порты способен обнаружить уязвимый SMI-обработчик, который может дать злоумышленнику исполнять код в режиме SMM. В примере автор использует драйвер RwDrv.sys.
  • Информация о системе. Чтение памяти ядра (через чтение физической памяти), чтение BIOS, информация о настройках системы, подключенных устройствах и включенных/отключенных механизмах защиты (через чтение MSR, управляющих регистров, доступ к портам ввода/вывода), в некоторых случаях можно детектировать известный гипервизор (типа VirtualBox через MSR). Для данной задачи чаще всего подойдет даже драйвер, который может только читать, не обязательно писать. Например, для чтения физической памяти подойдет RamCaptureDriver64.sys от Belkasoft.

Если проанализировать различные статьи и заметки о CVE, то можно выделить некоторую классификацию потенциально опасных при доступе из ring3 функций в драйверах. В таблице ниже указаны опасные функции и источники информации о них.

И это далеко не весь список возможных опасных функций. Можно также говорить и о чтении/записи виртуальной памяти ядра, чтении/записи MMIO, доступе к PCI устройствами т.д.

Наибольший интерес, а также наибольшую опасность (и наибольшую вероятность обнаружить драйвер с такими функциями) представляют первые три функции: чтение/запись регистров MSR, чтение/запись портов ввода/вывода, чтение/запись физической памяти. С помощью управляющих регистров можно обойти некоторые механизмы защиты, запись в регистр флагов позволяет включить чтение/запись портов ввода/вывода в ring3 (кстати, упоминается в этой статье на Хабре), успех атак по сторонним каналам (с помощью обращения к кэшу, счетчиков мониторинга производительности/тактов), скорее всего, маловероятен.

В процессе создания данного материала на конференции DEFCON 27 в Лас-Вегасе исследователи Jesse Michael и Mickey Shkatov представили работу «Get off the kernel if you cant drive», в которой также рассказывается о данной проблеме, и мы рекомендуем изучить данный материал для полноты картины. Здесь очень просто и наглядно расписаны сценарии использования подобных драйверов и представлены примеры участков кода, отвечающих за наиболее критичную функциональность. И также представлен код по работе и поиску подобных драйверов.

Вообще стоит отметить, что данная тема уже достаточно давно волнует исследователей безопасности. Еще в 2018 году исследователь Александр Матросов в своей статье «What makes OS drivers dangerous for BIOS?» поднимал данный вопрос и демонстрировал, как достаточно просто можно проэксплотировать BIOS.

Драйверы с функциями двойного назначения

Ниже рассмотрены наиболее известные представители драйверов с функциями двойного назначения.

  • RwDrv.sys – очень популярный драйвер (поставляется с утилитой RWeverything). Читает и пишет физическую память, I/O порты, MSR и управляющие регистры. Был неоднократно использован в разных PoC’ах, а потом и в настоящем ранее упомянутом рутките Lojax. Для него написан интерфейс на C++, а также он используется в chipsec.

  • cpuz/gpuz

    Читает и пишет физическую память, порты и MSR. Есть несколько PoC-утилит с его использованием (здесь и здесь).

  • pcdsrvc_x64 – драйвер от Dell, за дополнительной информацией обращаться в этот пост. Позволяет читать/писать физическую память и в I/O порты.

  • AsIO64.sys


    Он предоставляет возможность чтения/записи физической памяти и I/O портов, а также вместе с ним идет удобная dll’ка для выполнения этих запросов.

  • Asmmap64.sys – еще один драйвер от ASUS, позволяющий читать/писать физическую память, I/O порты и MSR. Для злоумышленника он был бы особенно приятен, поскольку доступ к драйверу может быть осуществлен от обычного пользователя без прав администратора. Любопытные могут обратиться к первоисточнику.

  • ntiolib_x64.sys/winio64.sys – драйверы от MSI, подробно о них рассказано в ранее упомянутой статье. С помощью ntiolib_x64.sys можно читать/писать физическую память, I/O порты и MSR, winio64.sys предоставляет все эти функции, кроме MSR.

Обычно описанные опасные функции признают уязвимостями, если драйвер доступен пользователю без прав администратора (неправильный ACL) или когда позволяет исполнять произвольный код напрямую (как в bandainamcoonline.sys). В остальных случаях это просто функциональность, и раз у пользователя есть права администратора, то он может использовать все функции драйверов и это норма.

Если вы думаете, что подобных драйверов не больше десятка, то сильно ошибаетесь. Можете посмотреть данную подборку интересных драйверов. В этом списке есть драйверы от ASUS, AVAST, Razer, LG, American Megatrends и других известных компаний. Так что их много, нужно просто поискать. А значит, они представляют реальную угрозу.

Данную угрозу понимают и сотрудники Microsoft. И будут признательны за информацию о подобных драйверах 😉

Рекомендации

Для пользователей:

  • Не стоит сидеть без необходимости под админской учетной записью, отключать UAC (хотя его обойти не сложно).
  • Можно установить детектор пытающихся установиться драйверов (например, вот).
  • При необходимости использования утилит с такими драйверами (диагностических, для обновления BIOS и т.п.) удалять драйверы после использования.
  • Настроить Device Guard (если вы являетесь счастливым обладателем Windows 10). С помощью этой технологии можно создать свою политику целостности кода, внести «белые» списки программ и сертификатов. Например, добавить в политику требование, что любой драйвер режима ядра должен иметь подпись WHQL от Microsoft. В этом посте можно лучше ознакомиться с настройкой Device Guard для данной цели.

Производителям же лучше не подписывать такие драйверы. Если пользователю требуется обновить BIOS, проверить систему на наличие уязвимостей (привет, chipsec), измерить производительность или провести еще какие-нибудь манипуляции, требующие установки подобных драйверов, то он вполне может перейти в Test Mode, сделать все это, а после выйти. Usability в таком случае упадет, зато возрастет security.

Выводы

Если что-то подписано, то доверять этому все равно нельзя. Во-первых, подписать так-то можно что угодно, а во-вторых, этим подписанным (даже если оно от доверенного производителя) может воспользоваться злоумышленник.

Специалистам по информационной безопасности не стоит исключать из модели угроз ситуации, когда злоумышленнику для выполнения атаки требуется драйвер с опасным функционалом. Драйверов таких достаточно, сделать это довольно просто. Если же атака будет проведена не с таким попсовым драйвером, как от RwEverything, а с каким-нибудь менее широко известным, то обнаружить ее будет еще сложнее. Так что надо быть начеку, мониторить такие вещи и не позволять каждому драйверу загружаться в систему.

Автор: Елизавета Хоменко

Драйвер (электроника) — Википедия

Микросхема-драйвер RS-232

Драйвер (англ. driver — управляющее устройство, водитель) — электронное устройство, предназначенное для преобразования электрических сигналов, целью которого является управление чем-либо. Драйвером обычно называется отдельное устройство или отдельный модуль, микросхема в устройстве, обеспечивающие преобразование электрических управляющих сигналов в электрические или другие воздействия, пригодные для непосредственного управления исполнительными или сигнальными элементами.

Под определение драйвера попадают многочисленные устройства:

  • Шинные формирователи, предназначенные для передачи сигналов с одного уровня цифрового устройства на другой с преобразованием уровня, усилением нагрузочной способности и другими особенностями. Такие устройства обеспечивают передачу данных между различными логическими блоками по общим линиям связи внутри вычислительных машин.
  • Формирователи сигналов интерфейсов цифровых электронных устройств, предназначенные для преобразования, приёма и передачи цифровых сигналов и согласования электрических параметров с особенностями линии связи. Наиболее известными представителями таких драйверов считаются формирователи интерфейсов RS-232 (COM — порт), RS-485, RS-422, CAN, LIN, Ethernet, USB, IEEE 1394 и т. д.
  • Устройства управления различными типами исполнительных устройств, такими как электромагниты, электродвигатели (в том числе шаговые), сигнальные лампы, дозаторы (в том числе печатающие головки принтеров), сервоприводы, звуковые сигналы и т. д.[1]
  • Модули питания и управления устройствами, требующими соблюдения определённых рабочих параметров в процессе включения, выключения и работы. Ярким примером можно считать драйверы светодиодов, поскольку к питанию светодиодных устройств предъявляются повышенные требования[2].
  • Драйверы силовых транзисторов, MOSFET и IGBT-транзисторов. Затворы мощных полевых силовых транзисторов имеют большую электрическую ёмкость (тысячи пикофарад), для зарядки которых на высокой частоте нужен большой ток (амперы). Драйвер обеспечивает большой ток для быстрой зарядки затвора транзистора для его открытия. А также быстро разряжает затвор, когда транзистор нужно закрыть.

Светодиоды, в отличие от других излучающих свет приборов (ламп, светильников), не могут быть напрямую включены в бытовую сеть. Более того, светодиоды не могут питаться фиксированным напряжением, которое указано в паспорте. Устройство питания светодиода должно иметь элементы, ограничивающие ток через светодиод в соответствии с его характеристиками, или балласт. Именно поэтому диод называется «токовым прибором», и использование традиционных преобразователей напряжения неприменимо. Светодиод, как и любой полупроводниковый диод, имеет нелинейную вольт-амперную характеристику, которая меняется под воздействием температуры и, хоть и незначительно, но отличается у разных излучателей, даже выпущенных в одной партии. Поэтому ограничивающие ток элементы должны учитывать как разброс параметров светодиодов, температурный и временной уход, так и изменения питающего напряжения.

Известно множество схем питания светодиодов. Наиболее простым решением для ограничения тока светодиода является резистор, включённый последовательно с светодиодом, однако, такой вариант не слишком экономичен. Немалая часть подводимой мощности будет выделяться на этом резисторе в виде тепла. Можно уменьшить эту «паразитную» мощность снижением напряжения питания системы и уменьшением сопротивления резистора. Чем меньше выбрать сопротивление резистора, тем меньше он будет греться. Но и тем больше будет меняться ток светодиода при изменении его параметров, вызванных например, изменениями температуры, а при слишком малом сопротивлении резистора, ток может выйти из рабочего диапазона и снизить долговечность светодиода вплоть до выхода его из строя.

Наиболее популярные на данный момент эффективные схемы питания — на основе импульсных преобразователей (электронный балласт) и на основе реактивного сопротивления ёмкостных элементов (ёмкостной балласт).

Другой способ питания — стабилизация тока через светодиод с помощью электронной схемы. Для таких целей выпускаются специальные микросхемы, содержащие один или несколько стабилизирующих ток выходов. При использовании такого решения, напряжение питания может быть подобрано таким, что выделяемая на драйвере активная мощность была минимальной. Драйверы со стабилизацией тока и с управлением от микроконтроллера используются в электронных светодиодных табло, где требуется управлять не только включением, выключением и яркостью каждого пикселя, но и его цветом[3].

В некоторых применениях, например батарейном питании, напряжения источника не хватает для включения светодиода. В таких устройствах используются повышающие преобразователи, специально разработанные для эффективного использования светодиодных излучателей[4].

Для питания мощных белых светодиодов в осветительных устройствах применяются специальные блоки — электронные драйверы светодиодов, представляющие собой эффективные преобразователи питания, которые стабилизируют не напряжение на своём выходе, а ток[5][6].

Такие драйверы позволяют включить один или несколько светодиодов, соединённых в одну последовательную цепочку. Несколько параллельных цепочек таким драйвером питаться не могут, поскольку ток в отдельных цепочках может сильно отличаться[2].

В современной автоматике, да и в бытовой технике, зачастую двигатель или электромагнит включается не выключателем, а контроллером. Скоростью вращения, направлением позволяют управлять логические устройства с формирователями на выходе — силовыми драйверами[7]. Входы такого драйвера совместимы с логическим устройством, а на выходе формируется необходимое напряжение нужной полярности и, в случае шагового двигателя, необходимая циклограмма возбуждения его обмоток.

  1. Петропавловский Ю. Современные микросхемы управления двигателями постоянного тока фирм ROHM и Toshiba. Современная электроника № 2 2010 г.
  2. 1 2 Бирюков Е. Элементная база и способы её применения для решения задач управления питанием светодиодов. Компоненты и технологии № 11 2006 г.
  3. Селиванов М. Светодиодные драйверы производства фирмы SiTI. Компоненты и технологии № 2 2008 г.
  4. Никитин А.Применение импульсных повышающих преобразователей фирмы National Semiconductor для управления светодиодами. Компоненты и технологии № 8 2007 г.
  5. Евстифеев А.Практический опыт применения микросхемы Supertex HV9910. Компоненты и технологии № 12 2009 г.
  6. Ричардсон К. Драйверы светодиодных ламп уличного освещения производства National Semiconductor. Компоненты и технологии № 4 2011 г.
  7. ↑ Драйвер двигателей L293D

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *