#7 Aunque no lo mencione en la información sobre su arquitectura, CrowdStrike Falcon sigue haciendo hooking (en 2024), no sólo de procesos del espacio de usuario, sino también en el kernel para funcionalidades "avanzadas".
CrowdStrike released an update of its Falcon Agent, part of its solution platform to prevent security breaches. This agent has privileged access to Microsoft Windows OS, hooking directly to the operating system's kernel (or core). The flaw caused the Blue Screen Of Death (BSOD) on Windows worldwide, affecting at least 8.5 million devices.
https://medium.com/devops-cloud-it-career/learning-from-the-crowdstrike-outage-mitigate-risks-prepare-for-incidents-c6cc00e6c417
que se anden con ojo: Antitrust incoming
Cuando implementaron (de aquella manera) la protección contra parcheos del kernel la UE obligó a Microsoft a proporcionar las APIs y frameworks necesarios a las empresas de seguridad. Imagino que en este caso podría saldarse de igual manera.
#3 No me lo tomes a mal pero lo que has dicho... es un poco cuñadil, si.
No sabes lo lejos que estas de la realidad. Por varios factores, Microsoft tiene esas APIs ( APIs muy ricas, frameworks, etc. desde hace decadas ya, incluso cuando linux no tenia ese tipo de APIs ) desde hace mucho tiempo. Ya hace años hacer hooks para antivirus, firewall, etc. es algo rarisimo, 2005/2006 fue, digamos, la ultima epoca de los hooks. Incluso antes de haber APIs de tipo hub/framework ( como el filter manager o WFP y otros, que van para o superan los 20 años ) habia el concepto de hacer attach a devices para ponerse en medio de stacks de ficheros, disco, red,... y se hacia todo sin hooks. Hoy dia ya te haces un minifilter de ficheros, un callout driver de WFP para red ( o un lightweight filter de NDIS6+ ) o te haces filtros PnP para otros temas...
Por no hablar de que hoy dia, que todo es x64 ya, tienes un bonito PatchGuard que, si no haces las cosas MUUUY bien, detecta los hooks o parches guarros a los que haces alusion y te da un pantallazo enseguida. Vamos, que no, que estamos en 2024, no en 2003.
Lo de CrowdStrike no tiene nada, NADA que ver con un hook.
Que puedan hacer algun framework de usuario... puede ser, pero ni hace falta ni tiene pinta de ser tan buena idea. Y por cierto, que se anden con ojo: Antitrust incoming
En fin.