Zitat von
nicodex:
Aber Treiber für 64-Bit Windows müssen mit einem (Class 3) Zertifikat signiert sein - und ich kenne nicht sooo viele, die eines besitzen (eine Frage des Geldes) und dir ohne Weiteres deinen privaten Treiber signieren (eine Frage der Motivation).
Hier muss man erwähnen, dass nur 64 Bit Vista-Versionen gemeint sind, nicht etwa XP oder die Server-Variante 2003 (R2). Wohl aber die 2008er Variante.
Der Treiber an sich sowie das Zertifikat sind nun im meinem Fall kein Problem, wohl aber das Signieren eines Fremdtreibers. Das ist zwar auch eine Frage der Motivation, aber hauptsächlich der Verantwortung, denn wenn Dein von mir signierter Treiber Mist baut, sind meine Zertifikat-Kontaktdaten sichtbar. Das reicht für viele Anwälte schon aus.
Zitat von
nicodex:
Allerdings könnte man mit diesem Treiber auch die EventLog-Daten auslesen (nicht gerade trivial, da es verschiedene Zugriffsmethoden gibt), die sehr oft (fast immer) außerhalb des normalen Bereichs des ROM-BIOS liegen.
Ja, die EventLog-Daten sind nur ein Beispiel; man kann - das Wissen vorausgesetzt - sehr viele interessante Dinge damit machen. Etwa auch die Datenstrukturen von Tastaturen oder Festplattencontrollern loggen. Acronis TrueImage nutzt bspw. einen eigenen Treiber, um die Festplattenzugriffe umzuleiten. Wenn ich ein Image erstelle, und während des Erstellvorgangs bestimmte Verzeichnisse von meiner Platte lösche, sichert Acronis Trueimage sie trotzdem mit, da der Treiber die Zugriffe abfängt und sie erst durchführt, sobald das Image erstellt wurde (Snapshot-Prinzip). Das war nur ein Beispiel...