Возможно ли контролировать драйверы, запущенные в режиме ядра (Windows) ?

Question

С помощью HIPS можно смотреть, что делают процессы. А можно ли видеть, что делают запущенные драйверы в режиме ядра? И запрещать им выполнять определенные действия (например, чтение файлов) ? Также запрещать эти действия программам, которые установили драйвер и драйвер запущен . 
 
Например, Process Hacker отключает любой антивирус, несмотря на самозащиту антивируса. Может ли антивирус или HIPS подобным программам запрещать завершать системные процессы ?

Татьяна Печавина · Accepted Answer

нет

Орест · Answer

Да, это можно сделать перехватом системных функций. Но проблема в том, что если для программы из юзермода не могут повлиять на установленный из ядра перехватчик (то есть то, что делают указанные софтины) , и даже узнать о нем, то в ядре любой достаточно умный руткит проверяет, перехвачены ли нужные ему функции известным способом, и может избавиться от обработчика. Еще одна проблема - одно и то же в ядре можно сделать многими способами, и опять же в случае руткитов становится достаточно сложно определить, что он делает. Короче, в 99% случаев и для легальных программ это возможно. На конкретный софт не укажу - не знаю.