Visiblement, j'ai cru comprendre (non spécialiste du truc) que le "driver" Falcon sensor s’exécute en espace kernel, serait capable d’exécuter du pseudo-code depuis un fichier de définition, ce qui (toujours de la façon dont je comprend la chose) permet a un driver qui doit passer le processus de certification WHQL avant de pouvoir être déployé, d’exécuter quand même un code (pseudo-code) non certifié.
De fait, malgré cette politique de Microsoft qui vise à assurer la stabilité de leur OS, Crowdstrike a réussi à la contourner avec le résultat qu'on connait.
[^] # Re: lien
Posté par Big Pete . En réponse au journal Une mise à jour de l'antivirus Crowdstrike bloque des milliers de postes Windows au démarrage. Évalué à 3. Dernière modification le 22 juillet 2024 à 16:50.
Visiblement, j'ai cru comprendre (non spécialiste du truc) que le "driver" Falcon sensor s’exécute en espace kernel, serait capable d’exécuter du pseudo-code depuis un fichier de définition, ce qui (toujours de la façon dont je comprend la chose) permet a un driver qui doit passer le processus de certification WHQL avant de pouvoir être déployé, d’exécuter quand même un code (pseudo-code) non certifié.
De fait, malgré cette politique de Microsoft qui vise à assurer la stabilité de leur OS, Crowdstrike a réussi à la contourner avec le résultat qu'on connait.
Enfin, c'est que j'ai retenu de cette vidéo YT d'un ancien de Microsoft :
https://www.youtube.com/watch?v=wAzEJxOo1ts
(donc a prendre avec les pincettes de circonstances, j'imagine).
Faut pas gonfler Gérard Lambert quand il répare sa mobylette.