Защита от исправлений ядра
KPP, также известная как PatchGuard, - это функция безопасности, встречающаяся только в 64-разрядных версиях Windows. PatchGuard не позволяет программному обеспечению, даже драйверам, работающим в режиме ядра, исправлять ядро Windows. Это всегда не поддерживалось, но технически возможно в 32-разрядных версиях Windows. Некоторые 32-разрядные антивирусные программы реализовали свои меры антивирусной защиты с помощью исправления ядра.
PatchGuard не позволяет драйверам устройств исправлять ядро. Например, PatchGuard не позволяет руткитам модифицировать ядро Windows для внедрения в операционную систему. Если будет обнаружена попытка исправления ядра, Windows немедленно завершит работу с синим экраном или перезагрузится.
Эта защита могла бы быть реализована в 32-разрядной версии Windows, но этого не произошло - вероятно, для сохранения совместимости с устаревшим 32-разрядным программным обеспечением, которое зависит от этого доступа.
Защита от выполнения данных
DEP позволяет операционной системе помечать определенные области памяти как «неисполняемые», устанавливая «бит NX». Области памяти, которые должны хранить только данные, не будут выполняться.
Например, в системе без DEP злоумышленник может использовать своего рода переполнение буфера для записи кода в область памяти приложения. Затем этот код может быть выполнен. С помощью DEP злоумышленник может записать код в область памяти приложения, но эта область будет помечена как неисполняемая и не может быть выполнена, что остановит атаку.
64-битные операционные системы имеют аппаратную DEP. Хотя это также поддерживается в 32-разрядных версиях Windows, если у вас современный ЦП, настройки по умолчанию являются более строгими, и DEP всегда включен для 64-разрядных программ, а для 32-разрядных программ он отключен по умолчанию из соображений совместимости.
Диалоговое окно конфигурации DEP в Windows немного вводит в заблуждение. Как указано в документации Microsoft, DEP всегда используется для всех 64-битных процессов:
WOW64
64-разрядные версии Windows работают с 32-разрядным программным обеспечением Windows, но они делают это через уровень совместимости, известный как WOW64 (32-разрядная версия Windows на 64-разрядной версии Windows). Этот уровень совместимости налагает некоторые ограничения на эти 32-разрядные программы, что может препятствовать правильной работе 32-разрядных вредоносных программ. 32-разрядные вредоносные программы также не смогут работать в режиме ядра - только 64-разрядные программы могут это делать в 64-разрядной ОС - поэтому это может помешать правильной работе некоторых старых 32-разрядных вредоносных программ. Например, если у вас есть старый аудио компакт-диск с руткитом Sony, он не сможет установить себя в 64-разрядной версии Windows.
64-битные версии Windows также отказываются от поддержки старых 16-битных программ. Помимо предотвращения запуска древних 16-битных вирусов, это также заставит компании обновлять свои старые 16-битные программы, которые могут быть уязвимы и не исправлены.
Учитывая широкое распространение 64-битных версий Windows, новые вредоносные программы, скорее всего, смогут работать в 64-битной Windows. Однако отсутствие совместимости может помочь защититься от старых вредоносных программ.
Если вы не используете скрипучие старые 16-разрядные программы, древнее оборудование, предлагающее только 32-разрядные драйверы, или компьютер с довольно старым 32-разрядным процессором, вам следует использовать 64-разрядную версию Windows. Если вы не уверены, какую версию используете, но у вас современный компьютер под управлением Windows 7 или 8, скорее всего, вы используете 64-разрядную версию.
Конечно, ни одна из этих функций безопасности не является надежной, и 64-разрядная версия Windows по-прежнему уязвима для вредоносных программ. Однако 64-битные версии Windows определенно более безопасны.