Режимы ядра и пользователя
Что такое Режимы ядра и пользователя?
Режимы ядра и пользователяДва уровня привилегий CPU, обеспечиваемые современными ОС: режим ядра (supervisor, ring 0) с полным доступом к оборудованию и пользовательский режим (ring 3), ограниченный своим адресным пространством и непривилегированными инструкциями.
Современные CPU реализуют защитные кольца; x86 определяет четыре (0-3), но массовые ОС используют только ring 0 (ядро/supervisor) и ring 3 (пользователь). В режиме ядра процессор может исполнять привилегированные инструкции, изменять таблицы страниц, обращаться к портам ввода-вывода и управлять оборудованием. В пользовательском режиме код ограничен своим виртуальным адресным пространством и обращается к ядру через контролируемые шлюзы: системные вызовы (syscall/sysenter на x86_64, svc на ARM64) или аппаратные прерывания. Эта граница и обеспечивает устойчивость ОС: упавший браузер не может задеть ядро, а скомпрометированному процессу для попадания в ring 0 нужен эксплойт ядра. Гипервизоры добавляют ring -1 (VMX root), а SMM и ARM TrustZone дают ещё более привилегированные состояния. Понимание этой границы критично при размышлении об EDR, руткитах и eBPF.
● Примеры
- 01
EDR-драйвер в ring 0 способен хучить провайдеры ETW, тогда как пользовательский антивирусный агент ограничен API-хуками и инспекцией процессов.
- 02
Ядерный руткит использует подписанный драйвер, чтобы попасть в ring 0 и скрыть процессы от пользовательских средств защиты.
● Частые вопросы
Что такое Режимы ядра и пользователя?
Два уровня привилегий CPU, обеспечиваемые современными ОС: режим ядра (supervisor, ring 0) с полным доступом к оборудованию и пользовательский режим (ring 3), ограниченный своим адресным пространством и непривилегированными инструкциями. Относится к категории Идентификация и доступ в кибербезопасности.
Что означает Режимы ядра и пользователя?
Два уровня привилегий CPU, обеспечиваемые современными ОС: режим ядра (supervisor, ring 0) с полным доступом к оборудованию и пользовательский режим (ring 3), ограниченный своим адресным пространством и непривилегированными инструкциями.
Как защититься от Режимы ядра и пользователя?
Защита от Режимы ядра и пользователя обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Режимы ядра и пользователя?
Распространённые альтернативные названия: ring 0 и ring 3, supervisor и user mode.