2026 год поставил перед индустрией кибербезопасности неудобный вопрос: что делать, если оружием атаки становится легитимный драйвер, подписанный производителем и формально чистый? Техника BYOVD - Bring Your Own Vulnerable Driver - из экзотики превратилась в повседневный инструментарий злоумышленников, и традиционные защитные механизмы справляются с ней через раз.
Старый трюк, новое измерение
Схема, казалось бы, проста. Атакующий не пишет вредонос с нуля - он тащит в систему готовый, но дырявый драйвер и через него вырубает антивирус. Убить процесс защитника изнутри ядра куда проще, чем ломиться через пользовательское пространство. Именно поэтому BYOVD так живуч.
Первый путь - взять драйвер с открытого агрегатора уязвимых компонентов, где таких файлов накоплены сотни. Быстро, грязно, почти бесполезно: антивирусные базы обновляются стремительно, и общеизвестный образец блокируется ещё до инициализации. Второй путь - куда интереснее. Исследователь вручную ковыряет старый драйвер какого-нибудь утилиты для разгона видеокарты или забытого системного компонента, находит там эксплуатируемую дыру и получает уникальный вектор. Такой файл нигде не засвечен, в чёрные списки не внесён, подпись валидна. Антивирус его не знает - и пропускает.
Почему защита не справляется сама по себе
Современный антивирус - это не просто сканер. Под капотом любого серьёзного продукта сидят три-четыре собственных драйвера: один контролирует процессы, другой мониторит USB, третий не даёт вредоносному коду подменить токен системного процесса. Но всё это работает уже после загрузки ядра. Если уязвимый драйвер успел инициализироваться раньше - игра сделана.
Именно здесь в дело вступает ELAM - Early Launch Anti-Malware. Технология появилась ещё в Windows 8, но в 2026-м она актуальна как никогда. Суть: специальный драйвер стартует раньше всех остальных компонентов системы и получает право проверять каждый загружаемый файл ещё до его инициализации. Не после - до.
Как ELAM видит угрозу
Механизм строится на функции обратного вызова, которую ELAM-драйвер регистрирует сразу после собственного запуска. Каждый раз, когда система подтягивает очередной компонент, колбэк срабатывает и передаёт защитному модулю полный пакет данных: путь к файлу, имя, раздел реестра, сведения о цифровой подписи и сертификатах. На основе этого пакета выносится вердикт.
Проверка идёт по двум осям. Первая - хеш файла: если он совпадает с записью в базе запрещённых, драйвер не загрузится, даже если переименовать файл или подправить метаданные. Вторая - имя: грубый, но рабочий фильтр для самых наглых попыток. Итоговая классификация укладывается в четыре статуса - от гарантированно чистого до полностью неизвестного.
- KnownGood - валидная подпись Microsoft, отсутствие в базах угроз, зелёный свет
- KnownBad - совпадение хеша, имени или сертификата с чёрным списком, загрузка блокируется
- KnownBadBootCritical - драйвер уязвим, но критичен для старта системы; жёсткая блокировка грозит синим экраном
- Unknown - данных нет ни в белом, ни в чёрном списке; решение остаётся за политикой безопасности
Ахиллесова пята и реальная картина
ELAM закрывает сценарий с известными уязвимыми драйверами надёжно. Но именно против второго варианта атаки - эксклюзивного, нигде не засвеченного - он почти бессилен. Если хеша нет в базе, имя не совпадает, а подпись легитимна, система выдаст статус Unknown, и дальше всё зависит от того, насколько параноидально настроена политика. Большинство корпоративных сред такой драйвер пропустят.
Это и есть главное противоречие 2026 года: гонка вооружений между глубиной анализа и шириной покрытия баз. Хакеры копают всё глубже в архивы вендоров. Защитники наращивают телеметрию и поведенческий анализ. Победителя пока нет - есть только следующий раунд.