Announcing Windows 10 Insider Preview Build 17672 (MAY 16, 2018)
[URL] https://blogs.windows.com/windowsexperience/2018/05/16/announcing-windows-10-insider-preview-build-17672/
保護されたプロセスであるかないかは、Windows Sysinternals の Process Explorer(Procexp)(→ 公式ダウンロード ページ)で確認できます。プロセス一覧のカラーが鮮やかなピンク(既定では表示されません)、「Protected」列(既定では表示されません)、「Security」タブの「Protected:」の値で確認できます。
Windows 10 バージョン 1803 に先日(5/9)正式対応したばかりの ESET NOD32 Antivirus v11.1 はというと、Windows 10 バージョン 1803 上では保護されたプロセスではなかった(↑Windows 10 バージョン 1803 +ekrn.exe)。
Windows Defender Antivirus は、もちろん既に対応済み(↓Windows 10 バージョン 1803 の MsMpEng.exe と NisSrv.exe、確か Windows 8.1 から対応済み)。
RS5 リリース時には、アップグレード時にいろんなマルウェア対策ソフトが引っ掛かるかもね。
保護されたプロセス(Protected Process)とはどういうものなのか、提供されるようになった経緯などの解説は、『インサイド Windows 第 7 版 上』(日経BP社)にもちろん書かれています。「第 3 章 プロセスとジョブ-3.3 保護されたプロセス(Protected Process)」や「第 4 章 スレッド-実習:Process Explorerを使用して保護されたプロセスのスレッドの情報を参照する」など。
新刊『インサイド Windows 第 7 版 上』本日発売(PR)(2018/04/27)
Windows 10 ver 1809 では、保護されたプロセス要件の実施は見送られたみたい。既定で無効になってました。HKLM\SOFTWARE\Microsoft\Security Center\Feature に DisableAvCheck (DWORD) = 1 が設定されています(新規、アップグレードどちらも)。
返信削除